5分でできるPHPセキュリティ対策 - ぼくはまちちゃん！

こんにちはこんにちは！！ Webプログラミングしてますか！ よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます！ 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる！ 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです！ (NG) あなたの名前は <?= $name ?> ですね！ ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>

[Hamachiya2]

クリックジャッキング対策も追記したよ

[bricklife]

なんか踏まされるんじゃないかと思って、デモのリンクをクリックするの躊躇しました。すみませんすみません

[kururi0421]

この手の話は、書いた記事の間違いを指摘されるのが怖くて、すごい人しか書いてくれない上に、すごい人は厳密に書こうとして結局わかりにくくなるパターンが多いので、要ははまちちゃんありがとう。

[Journey]

素人からすると信用していいのか分からない感が凄いｗ

[seen8]

安心の紙一重感のはまちちゃん。

[ghostbass]

「無条件に全部やればいいんだよ」っていうと「面倒くさいし」っていう。こだまでしょうか？

[kimikimi714]

セキュリティに詳しい人がいろいろ書いてくれるはずって書いてあるからコメントみたけどあんまりないw

[ockeghem]

これ守るだけも大変そう。『htmlの属性部分には、原則として動的なものを埋め込まない』<難しくない? あと初心者にはmdb2はきついかも

[glat_design]

この記事の直前の記事が「僕の考えたすごいブラクラ」でなんかシュールで笑うｗｗ

[sabotem]

「PHPはセキュリティがダメだから初心者は使うな」じゃなくて「初心者はまずこれだけやっとけ」ってのが初心者にとってはありがたいよねぇ。他に何をするべきかといった発想にもなりやすい。

[iww]

クリックジャッキング対策

[junk-boy]

“prepare”

[simplestreet]

これは覚えとこ

[tutumino]

遠藤さんより

[gontta]

いい

[cachico]

5分でできるPHPセキュリティ対策

[bynn_chapu]

わかりやすいな

[miyam]

ショートタグってどうなんだ。。

[tarchan]

＞header('X-FRAME-OPTIONS: DENY');

[takuya_1st]

output_handler で無精したらダメなん？

[valinst]

きれいなはまちちゃん

[ebo-c]

Smarty2は字句解析ではなく正規表現による置換なので自動エスケープは落とし穴満載で使いづらい(Smarty3では字句解析になったのでいけてるらしい)

[itbookmarker]

5分でできるPHPセキュリティ対策 - ぼくはまちちゃん！(Hatena)

[t-murachi]

永久に初心者で良い (趣味でネタサイト作るだけ) なら鵜呑みにすればいいと思うよ。 / ブ米で Perl の Taint モードに触れてる人がいるので大昔に書いたものだけど参考まで… >http://bit.ly/A0rWY1

[hidehish]

見てる:

[siro_xx]

プリペアドステートメント、PHPで書けるのか……（今知った）　　毎回mysql_real_escape_stringしてた

[josch_so36]

csrfって勉強しとかなきゃ。

[lEDfm4UE]

４．クリックジャッキング対策：.htaccessファイルに「Header set X-FRAME-OPTIONS "DENY"」と書くだけ。

[mashori]

さすが脆弱性をついたり見つけたりする人だけあって対策法の提示も見事だぜはまちちゃん！

[poppen]

[http://www.delicious.com/poppen/]

[ryun_ryun]

基本的な対策だけど重要ですね。

[aside1]

5分でできるPHPセキュリティ対策 - ぼくはまちちゃん！(Hatena) (id:Hamachiya2 / @Hamachiya2)

[koseki]

PHPは悪くないにしても htmlspecialchars() は長いので、PHP で h() を書くなら一緒に echo しよう。という記事を書きました。 http://d.hatena.ne.jp/koseki2/20120216/htmlspecialhonyarara

[sunoho]

みなさんもっと有用なコメントお願いします！！！

[stenpel]

セキュリティあんま知らないので何度か読む。

[adsty]

優れたセキュリティ対策だから理屈もできれば把握しておくべき。

[hisasann]

Header set X-FRAME-OPTIONS "DENY"

[inulab]

爽快なセキュリティ対策

[UDONCHAN]

普通だった

[reima]

参考までに。最近良く触るしね。