目から鱗 w/SQLite » PHP のセキュリティーに関する考察
一般的なこととして、PHP製のソフトウエアに関するセキュリティーに関して、考えてみたい。さまざまなセキュリティーホールのうち、SQLインジェクションとクロスサイトスクリプティングを取り上げ、主にサーバーの設定を中心に考察してみる。 この記事は、随時編集する可能性があります。また、疑問などありましたら、ご指摘いただければ恐縮です。 データベースとしてMySQLの使用を前提にしています。 1. はじめに PHP のセキュリティーを考える上でまずはじめに見ておきたいのが、register_globalsとmagic_quotes_gpc(及びmagic_quotes_sybase)である。ここでは、これらの設定の推奨値を register_globals=off magic_quotes_gpc=on magic_quotes_sybase=off としたい。これ
安全なWebアプリケーションの実現に向けて ― @IT
検査項目をしっかり定義 星野君 「大まかにいうと、Webアプリケーション開発で、『セキュリティテスト』っていう工程を明確に定義しましょうって感じですかね」 赤坂さん 「ほー」 星野君 「実際。『なんとなく大丈夫そう』っていうレベルでしかセキュリティって考えられていない場合が多いから、テスト項目を作りましょうって感じでいろいろ具体例を挙げてました」 赤坂さん 「へぇ~。具体例ねぇ~」 Webアプリケーションの安全性を高めるためには、実際に攻撃パターン(脆弱性の可能性を示唆できるパターン)を試すことが必要となってくる。すべての攻撃パターンを網羅することは難しいが、各攻撃パターンで共通している部分を取り出して検査することで、ほとんどの攻撃を防ぐことが可能となる。 以下に、代表的な脆弱性4つに対する検査パターンおよび確認事項について示す。これらの項目を実施するだけで格段にセキュリティが向上する。
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
