1000本突破
1000本突破

PHPでつくるWEBアプリのセキュリティ

づや

今日はセキュリティについていろいろ調べてみました。

しかし攻撃方法がいっぱいあるなぁ。

忘れないように大事なことを自分用にまとめておこう。

とりあえずPHPでできる、最低限の方法をメモメモ。

 

クロスサイトスクリプティング(XSS)の対策は、出力する値にhtmlspecialchars()を使うことと。

echo htmlspecialchars($str); //こんな感じにすればいいと

これは忘れないようにしよう。

昔JAVAの仕事してたときも似たようなことやってたなぁ。

 

あとformの値を使用してSQLを作るときは最低でもmysql_real_escape_string()を使うことと。

$name = $_POST['name'];
mysql_query("select * form tbl where name = '$name'"); //これはダメ
mysql_query(sprintf("select * form tbl where name = '%s'",
              mysql_real_escape_string($name))); //こんな感じにする

でもこれMySQLじゃないとダメなのか。

とりあえずは使うとしたらMySQLだからいいかな。

これも忘れないようにしようと。

 

まだまだいっぱいあるなぁ、セキュリティ関連は。

おいおい調べてはメモしておこう。