■基本知識
http://www.stackasterisk.jp/tech/php/index.jsp;jsessionid=ax8tm7...
下のほうにあるこの4つ
連載】PHP
スタックアスタリスクの前身サイト ITB-TECHよりの移行記事です。
第1回:PHP基礎 2003/8/29
第2回:PHP中級 2003/8/29
第3回:PHP応用 2003/8/29
PHP基本の基本
■基本サンプル
http://phpspot.net/php/sample.html
■PHP&Pearでデータベース操作
http://phpspot.net/php/pgPHP%81%95Pear%82%C5%83f%81%5B%83%5E%83x...
■掲示板
小さい掲示板のソースを見るのがよい
シンプルで機能がぜんぜんないのを選べばよい
■セッション管理(ログイン関係他)
情報ありがとうございます。
ただ、もう少し実践的な情報が欲しいです。一般的なPHPの情報は検索すればいくらでも出てきますので、「ブログシステム・掲示板システムを作る」といったテーマに近いものをお願い致します。
▽2
●
Yota ●40ポイント ![]() |
まずMySQLについてですが、OSがUNIX系でMySQLサーバとWEBサーバが同じマシンにある(内部から接続する)という前提で、設定ファイルの[mysqld]にskip-networkingと書くなどして、外部から接続できないようにすることと、間違っても3306番ポートを空けるようなことはしないでください。それとデータベースを設計するときにユーザごとに別テーブルを作って、GRANTによって必要最低限の権限しか与えないなどすればより強固になります。
ログインのパスワードについては、定期的に変えさせるような仕組みを作れば一番いいですがユーザに嫌がられる場合もあるので、もうひとつ全員共通でもいいから、Apacheのdigest認証(盗聴されてもパスワードがばれない)などをかました方が安全だと思います。
PHPについてですが、バグやセキュリティホールによるバージョンアップが多いので適切に対処すること。スクリプトはクロスサイトスクリプティングやSQLインジェクションに対応してあれば、大体大丈夫と思いますが、こういう本で勉強するのもいいと思います。
アプリケーションについてブログの例は知りませんが、この本の掲示板のところが参考になるかもしれません。
セキュリティに関する情報ありがとうございます。
>Apacheのdigest認証
これは初めて知りました。Pear:Authだと標準でMD5化してDBに保存するようです。また、SSLで通信時は防御しようと思っています。それよりも強固なのでしょうか?Apacheでログイン認証するというのはあまりやった事がありません。
>skip-networking
>3306番ポートを空ける
これはroot権限のみ対処すると考えていいのでしょうか。あくまでroot権限は持たないつもりです。限りなくrootに近い権限は持ちますが、サーバー管理自体は業者に任せるつもりです。
**何かの本で読んだのですが、掲示板を作る際に「フォーム以外からも投稿できるので、それを防がなければならない」といったような事が書いてありました。
これは、受け取ったデータがフォームから書き込まれたものかどうかという事を判別しているんだと思いますが、そういった事を解説しているものは無いでしょうか?
よろしくお願いします。
1.ハッシュ化して保存してあっても通信経路にパスワードがそのまま流れてしまうとまずいので、digest認証のようなチャレンジレスポンス方式が有効なのですが、SSL(すべてのパケットが暗号化される)の中でやるならまあそこまで必要ないかなという感じです。
2.MySQLサーバについては、業者に任せるということですので適切に運用されるとしましょう。わたしが言いたかったのは、外部と通信する必要がないのに、ポートが開いていたりすると攻撃にあって大変ということです。
3.
掲示板を作る際に「フォーム以外からも投稿できるので、それを防がなければならない」といったような事が書いてありました。
これは、受け取ったデータがフォームから書き込まれたものかどうかという事を判別しているんだと思いますが、そういった事
これはちょっとわからないです。
3についてですが、例えばwrite.phpにフォームがあってそこで何か書いてもらうとします。そのデータをPOSTでsql.phpに送ってDBに登録するとします。
ところが悪意のあるクラッカーがwrite.phpを介さないで別のドメインから直接sql.phpにデータを送り続けるような事があるので、それを防ぎましょうといった文脈だったと思います。これに関してはまた別の質問を立ち上げますので、もしよろしかったらお願いします。