人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

PHPプログラムで、サニタイズ処理が施されていないとありましたが、これは、どういった意味合いでしょうか?

また、XSS、インジェクションというキーワードも出てきました。

対策方法もお教え頂けますと幸いです。

●質問者: makocan
●カテゴリ:インターネット ウェブ制作
✍キーワード:PHP XSS キーワード サニタイズ プログラム
○ 状態 :終了
└ 回答数 : 3/4件

▽最新の回答へ

1 ● KUROX
●27ポイント

■サニタイズ

http://bakera.jp/glossary/30b530cb30bf30a430ba

例:

http://www.imymode.com/lab/keiji03.htm

■インジェクション

http://www.thinkit.co.jp/free/tech/7/5/

DBをつかうなら、SQLインジェクションも。

■XSS(クロスサイトスクリプティング)

http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html


2 ● hblm
●27ポイント

PHPプログラムで、サニタイズ処理が施されていないとありましたが、これは、どういった意味合いでしょうか?

サニタイズというのは、無害化と意味です。

サニタイズを行わないスクリプトは各種セキュリティに関する問題(脆弱性)を抱えています。公開・使用するべきではありません。

セキュリティ指針 - ゼンド・ジャパン株式会社 技術情報コンテンツ


XSS

Crss Site Scripting の頭文字をとったもので、スタイルシートのCSSと区別するためXSSと表記するのが主流になっています。

名前の通り、別のサイトからJavaScriptを実行し、ユーザーに危害を加えるものです。



インジェクション

注入、という意味です。スクリプトインジェクション、SQLインジェクションがあり、多くは後者を指します。

某エステメーカーやカカクコムのクラック事件がありましたが、これの原因がSQLインジェクションでした。作成者が意図しないSQLを発行させて、データベースの情報を参照したり、改ざんを行うものです。


PHPで書いたスクリプトには他にも様々な脆弱性対策を施す必要があります。

Amazon.co.jp: PHPサイバーテロの技法―攻撃と防御の実際: 本: GIJOE


3 ● minkpa
●26ポイント

http://d.hatena.ne.jp/keyword/%A5%B5%A5%CB%A5%BF%A5%A4%A5%BA?kid...

HTMLに埋め込むデータについて、そのデータを送出する情報処理システムの設計上の意図を超えて外部からの操作によって受け手に悪影響を及ぼす動作をさせないように編集してしまうこと。

一例として、埋め込んだデータがJavascriptやwebbugとして動作しないように“<”/“>”/“&”/“"” 等を実体参照に書き換えてしまうなど。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ