PHPプログラムで、サニタイズ処理が施されていないとありましたが、これは、どういった意味合いでしょうか?


また、XSS、インジェクションというキーワードも出てきました。

対策方法もお教え頂けますと幸いです。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2007/08/27 20:33:41
  • 終了:2007/09/03 20:45:04

回答(4件)

id:KUROX No.1

KUROX回答回数3542ベストアンサー獲得回数1402007/08/27 20:54:10

ポイント27pt

■サニタイズ

http://bakera.jp/glossary/30b530cb30bf30a430ba

例:

http://www.imymode.com/lab/keiji03.htm

■インジェクション

http://www.thinkit.co.jp/free/tech/7/5/

DBをつかうなら、SQLインジェクションも。

■XSS(クロスサイトスクリプティング)

http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html

id:hblm No.2

hblm回答回数243ベストアンサー獲得回数232007/08/27 20:56:05

ポイント27pt

PHPプログラムで、サニタイズ処理が施されていないとありましたが、これは、どういった意味合いでしょうか?

サニタイズというのは、無害化と意味です。

サニタイズを行わないスクリプトは各種セキュリティに関する問題(脆弱性)を抱えています。公開・使用するべきではありません。

セキュリティ指針 - ゼンド・ジャパン株式会社 技術情報コンテンツ


XSS

Crss Site Scripting の頭文字をとったもので、スタイルシートのCSSと区別するためXSSと表記するのが主流になっています。

名前の通り、別のサイトからJavaScriptを実行し、ユーザーに危害を加えるものです。



インジェクション

注入、という意味です。スクリプトインジェクション、SQLインジェクションがあり、多くは後者を指します。

某エステメーカーやカカクコムのクラック事件がありましたが、これの原因がSQLインジェクションでした。作成者が意図しないSQLを発行させて、データベースの情報を参照したり、改ざんを行うものです。


PHPで書いたスクリプトには他にも様々な脆弱性対策を施す必要があります。

Amazon.co.jp: PHPサイバーテロの技法―攻撃と防御の実際: 本: GIJOE

id:minkpa No.3

minkpa回答回数4178ベストアンサー獲得回数552007/08/27 21:08:25

ポイント26pt

http://d.hatena.ne.jp/keyword/%A5%B5%A5%CB%A5%BF%A5%A4%A5%BA?kid...

HTMLに埋め込むデータについて、そのデータを送出する情報処理システムの設計上の意図を超えて外部からの操作によって受け手に悪影響を及ぼす動作をさせないように編集してしまうこと。

一例として、埋め込んだデータがJavascriptやwebbugとして動作しないように“<”/“>”/“&”/“"” 等を実体参照に書き換えてしまうなど。

質問者が未読の回答一覧

 回答者回答受取ベストアンサー回答時間
1 Yota 453 431 28 2007-08-28 09:10:47

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません