第11回 スクリプトインジェクションを防ぐ10のTips | gihyo.jp

前回はスクリプトインジェクションがなくならない理由を紹介しました。それをふまえて今回はスクリプトインジェクションを防ぐ10のTipsを紹介します。 デフォルト文字エンコーディングを指定 php.iniには、PHPが生成した出力の文字エンコーディングをHTTPヘッダで指定するdefault_charsetオプションがあります。文字エンコーディングは必ずHTTPヘッダレベルで指定しなければなりません。しかし、デフォルト設定ではdefault_charsetが空の状態で、アプリケーションで設定しなければ、HTTPヘッダでは文字エンコーディングが指定されない状態になります。 HTTPヘッダで文字エンコーディングを指定しない場合、スクリプトインジェクションに脆弱になる場合あるので、default_charsetには“⁠UTF-8⁠”を指定することをお勧めします。サイトによってはSJIS、EUC-JP

[raburiwx]

strip_tags関数では許可タグを設定しない　に、２年前のコードのことか　ｱｯｰ!!：）

[tukumomomo]

"strip_tags関数では許可タグを設定しない"　に、２年前のコードのことか　ｱｯｰ!!

[s_mori]

strip_tags関数で許可タグを設定すると、タグ内属性まで残ってしまう。

[sylvan_l]

出力エスケープのサンプル

[nilab]

第11回　スクリプトインジェクションを防ぐ10のTips:「文字列を直接出力する関数は利用しないようにします。簡単なラッパー関数を作成し，デフォルトではエスケープして出力するようにします」

[webmarksjp]

security

[cheesesouffle]

そもそもアプリだけでなくPHP本体にセキュリティホールが多いので(苦笑)

[hiroponz]

PHPアプリのセキュリティ対策のまとめ

[vv_boow_vv]

　スクリプトインジェクションを防ぐ10のTipsを紹介します。

[world_standard]

ＰＨＰセキュリティホールのチェックと対策方法

[pirano]

php　セキュリティ

[XIAORING]

security

[warszawa]

流し読みしてると「プリキュアホール」に見えたのは秘密

[heavenshell]

PHP のセキュリティについて

[kyorecoba]

『ユーザ入力を利用したJavaScriptの生成はできる限り行わないほうがよいでしょう。』

[betelgeuse]

http://d.hatena.ne.jp/pha/20071212/1197480792

[hiro_y]

セキュリティ対策の基本。

[sankaseki]

[!GTD::資料(いつか読む)]なぜPHPアプリにセキュリティホールが多いのか?：第11回　スクリプトインジェクションを防ぐ10のTips｜gihyo.jp … 技術評論社

[lesamoureuses]

当たり前のところもあるけど後で見返せるように

[ockeghem]

XSSという用語に問題が多いことは認めるが、スクリプトインジェクションと書いてしまうとサーバーサイドのものも含まれてしまう。結局のところ、XSSと記号化しておいて定義を与える方がまだよいのでは?