9-2. 入力値チェックの手法
入力値チェックを怠ると不正なコマンドを実行されてしまうなどのセキュリティ問題が生じる。さまざまな経路からデータはプログラムへ入ってくるが,経路によらずすべてのデータを検査対象とすべきである。排除すべきものを明示するより,受け入れられるものを明示する検査ポリシーが安全である。 入力されたデータがプログラム内部で使用するファイルパス,シェルコマンド,SQL文などと組み合わされたとき,不正なコマンドを形成してしまわないよう入力データから各種のメタキャラクタを検知・排除することが重要である。メタキャラクタとはシェルやスクリプト言語などで特別な意味を持つ文字で,たとえば次のようなものがある。もちろんこれはすべてではなくシェルやスクリプト言語に依存する。 &;`'\"|*?~<>^()[]{}$\n\r たとえば次のPerlの一文に入力データ$fileを与えてファイルをオープンしようとした場合を考えて
web と CGI のひみつ
◎ ここは書きかけなのですが、気力がなくなってほったらかしになっています。 推敲もろくにしていないので、読む場合は そのつもりでどうぞ。 このコンテンツは、CGI プログラムを作りたい人を対象に書きました。 簡単な BBS などの作成を通して、CGI プログラムのノウハウを説明します。 チュートリアル編 好きな言語を選んで読んで下さい。概要はいずれも同じです。 perl 編 CGI プログラムのはじめの一歩 掲示板を作ろう (1) 掲示板を作ろう (2) C言語編 CGI プログラムのはじめの一歩 ソース一覧 以下のサンプルプログラムは、各項で解説したものをまとめたものです。 サンプルプログラムの動作チェックは、FreeBSD 3.3-RELEASE、apache-1.3.9、 perl 5.005_05、ruby-1.4.3 で行いました。 実行環境を持っていないので、Windows で
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
