また、XSS、インジェクションというキーワードも出てきました。
対策方法もお教え頂けますと幸いです。
No.1
3542
140
27pt
■サニタイズ
http://bakera.jp/glossary/30b530cb30bf30a430ba
例:
http://www.imymode.com/lab/keiji03.htm
■インジェクション
http://www.thinkit.co.jp/free/tech/7/5/
DBをつかうなら、SQLインジェクションも。
■XSS(クロスサイトスクリプティング)
http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html
No.2
24323
27pt
PHPプログラムで、サニタイズ処理が施されていないとありましたが、これは、どういった意味合いでしょうか?
サニタイズというのは、無害化と意味です。
サニタイズを行わないスクリプトは各種セキュリティに関する問題(脆弱性)を抱えています。公開・使用するべきではありません。
セキュリティ指針 - ゼンド・ジャパン株式会社 技術情報コンテンツ
XSS
Crss Site Scripting の頭文字をとったもので、スタイルシートのCSSと区別するためXSSと表記するのが主流になっています。
名前の通り、別のサイトからJavaScriptを実行し、ユーザーに危害を加えるものです。
インジェクション
注入、という意味です。スクリプトインジェクション、SQLインジェクションがあり、多くは後者を指します。
某エステメーカーやカカクコムのクラック事件がありましたが、これの原因がSQLインジェクションでした。作成者が意図しないSQLを発行させて、データベースの情報を参照したり、改ざんを行うものです。
PHPで書いたスクリプトには他にも様々な脆弱性対策を施す必要があります。
No.3
417855
26pt
http://d.hatena.ne.jp/keyword/%A5%B5%A5%CB%A5%BF%A5%A4%A5%BA?kid...
HTMLに埋め込むデータについて、そのデータを送出する情報処理システムの設計上の意図を超えて外部からの操作によって受け手に悪影響を及ぼす動作をさせないように編集してしまうこと。
一例として、埋め込んだデータがJavascriptやwebbugとして動作しないように“<”/“>”/“&”/“"” 等を実体参照に書き換えてしまうなど。
| 回答者 | 回答 | 受取 | ベストアンサー | 回答時間 | |
|---|---|---|---|---|---|
| 1 |  Yota |
453回 | 431回 | 28回 | 2007-08-28 09:10:47 |
1
3
1
1
1
1
2
1
2
1
1
1912
1869
コメント(0件)