セキュリティ

Posted by muchag | PHP |
初回投稿:2010-05-24 (月) 17:18:39 | 最終更新:2010-05-29 (土) 2:06:54

セキュリティ・・・ね・・・
頭が痛い・・・ね・・・

・公開時には、エラーログを非表示にする。
・文字エンコーディングは明示的に指定し,アプリケーション内で統一する。
・エスケープ方法は可能なかぎり安全性が最も高い方法を利用する。

見やすかったサイト:PHPでのセキュリティ施策についてのメモ

1.JavaScript インジェクション

◆htmlentities

  1. echo htmlentities($row['date_created'], ENT_QUOTES, 'UTF-8');

デフォルトではENT_COMPATモードでエスケープ処理され,シングルクオートはエスケープされません。このため,シングルクオートで囲まれた JavaScriptの文字列,HTMLの属性値などを安全にブラウザに渡すためには,ENT_QUOTESモードでシングルクオートもエスケープするようにしないとJavaSscriptインジェクション等が可能なってしまいます。

参考元:ZendFrameworkで作る『イマドキ』のWebアプリケーション 第4回 ゲストブックの改善

2.SQL インジェクション

参考元
サイト脆弱性をチェックしよう!–第6回:SQLインジェクションの検査方法
今夜分かるSQLインジェクション対策

Posted by muchag | PHP |
初回投稿:2010-05-24 (月) 17:18:39 | 最終更新:2010-05-29 (土) 2:06:54

コメントはまだありません »

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a comment