一般的なこととして、PHP製のソフトウエアに関するセキュリティーに関して、考えてみたい。さまざまなセキュリティーホールのうち、SQLインジェクションとクロスサイトスクリプティングを取り上げ、主にサーバーの設定を中心に考察してみる。 この記事は、随時編集する可能性があります。また、疑問などありましたら、ご指摘いただければ恐縮です。 データベースとしてMySQLの使用を前提にしています。 1. はじめに PHP のセキュリティーを考える上でまずはじめに見ておきたいのが、register_globalsとmagic_quotes_gpc(及びmagic_quotes_sybase)である。ここでは、これらの設定の推奨値を register_globals=off magic_quotes_gpc=on magic_quotes_sybase=off としたい。これ