サニタイズ/入力値検証/エスケープの考え方 - Qiita
結論 ・PHPに入ってくるときに入力値検証 ・PHPから出ていくときにエスケープ ・サニタイズはない サニタイズ サニタイズって言うと怖い人たちがやってくるから言わないようにしましょう。 サニタイズは入力値検証もエスケープもなにもかもを含んだ広い意味になってしまったので、うっかり言ってることが食い違うと大変です。 入力値検証 入力値検証は、PHPの外からPHPに入ってくる値を検証することです。 外というと主に$_REQUEST/$_GET/$_POST等のリクエストパラメータがイメージされますが、実際はそれ以外にも環境変数、コマンドライン引数、ファイルやデータベースからの読み込みなど、PHP以外からやってくる全てのものを指します。 入力値検証はセキュリティ対策ではない もう入力値検証はセキュリティ対策としてあてにしないようにしようという記事がありますが、「もう」以前に、そもそも入力値検証は
セキュリティ診断のグローバル・スタンダードの紹介(OWASPセキュリティ診断基準と診断サービスの選定ポイント) | NTTデータ先端技術株式会社
Tweet はじめに システムのセキュリティリスクを把握する一つの手段として、セキュリティ診断が有効だと言われています。セキュリティ診断の代表的なものに、サーバーやネットワーク機器を対象とするネットワーク診断、主に顧客が独自作成したWebアプリケーションを対象としたWebアプリケーション診断があります。当社でも、これらの診断サービスを提供しています。 診断サービスを選択する際に、重要な点として以下があります(費用は、以下の項目に応じて決まるため、観点から除いています)。 診断手法 診断対象 診断項目 Webアプリケーション診断に適用すると、具体的には以下のようになります。 1. 診断手法 スキャナーを利用するのか、診断員が手動オペレーションで診断するのかなどの診断の手法に関係するもの。 2. 診断対象 全てのページなのか、一部のページに限定するのか(例:同じ作りのページは代表的なページ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
