今日はセキュリティについていろいろ調べてみました。
しかし攻撃方法がいっぱいあるなぁ。
忘れないように大事なことを自分用にまとめておこう。
とりあえずPHPでできる、最低限の方法をメモメモ。
クロスサイトスクリプティング(XSS)の対策は、出力する値にhtmlspecialchars()を使うことと。
echo htmlspecialchars($str); //こんな感じにすればいいとこれは忘れないようにしよう。
昔JAVAの仕事してたときも似たようなことやってたなぁ。
あとformの値を使用してSQLを作るときは最低でもmysql_real_escape_string()を使うことと。
$name = $_POST['name'];
mysql_query("select * form tbl where name = '$name'"); //これはダメ
mysql_query(sprintf("select * form tbl where name = '%s'",
mysql_real_escape_string($name))); //こんな感じにするでもこれMySQLじゃないとダメなのか。
とりあえずは使うとしたらMySQLだからいいかな。
これも忘れないようにしようと。
まだまだいっぱいあるなぁ、セキュリティ関連は。
おいおい調べてはメモしておこう。
LIGはWebサイト制作を支援しています。ご興味のある方は事業ぺージをぜひご覧ください。
