第20回 文字エンコーディングとセキュリティ（2） | gihyo.jp

前回に引き続き、今回も文字エンコーディングとセキュリティをテーマに解説します。前回は文字エンコーディングを利用した攻撃で、JavaScriptインジェクションやSQLインジェクションなどが可能であることを紹介しました。今回はなぜ、文字エンコーディングを利用して攻撃できるのか、簡単に紹介します。 文字エンコーディングを利用した攻撃の原理 文字エンコーディングを利用した攻撃には3種類の方法があります。 不正な文字エンコーディングを利用する方法 文字エンコーディングを誤認識させる（誤認識を利用する）方法 文字エンコーディングのエスケープ方式を利用する方法 この連載は攻撃方法を詳しく解説する事が目的ではありません。具体的なの攻撃方法の解説はできる限り控え、なぜこの3つ手法が攻撃に利用できるのか解説します。 前回も触れましたが、パス遷移攻撃には文字エンコーディングを利用した攻撃方法もあります。 文字

[s_mori]

文字コード、文字エンコーディングの話。

[hate7110jp]

入力時のバリデーション処理で、すべての文字列に対してエンコーディングが正しいかチェックする

[denken]

「 文字エンコーディングのチェック例 function check_encoding($key, $value) { if (!mb_check_encoding($value, 'UTF-8')) { die('Invalid charactor encoding detected'); } } array_walk_recursive($arr, 'check_encoding');」

[otsune]

DIS合戦予定地

[ockeghem]

もっと用語を厳密に使用しないと。UTF-8は、「Unicode Transformation Format」または「UCS Transformation Format」の略だが、『Unicodeの』という文脈であれば前者。この場合の最大長は4バイト// このテーマは僕も書く予定（新年以降）

[hasegawayosuke]

「文字コード」とか意味がよくわからないので、もうちょっと勉強して出直してきます。// このテーマは僕も書く予定（新年以降）