BLOG ENTRY

SQL injection(SQLインジェクション)脆弱性の対策(PHP)

php

書籍からの情報を元に、SQL injection(SQLインジェクション)脆弱性の対策方法(PHP)をメモ。

1、SQL文の生成時にエスケープ

[PHP]
2、リクエスト変数受け取り時変換

数値型しかとらないとわかっている変数については、外部由来のデータを通常変数に代入する段階で、
数値型への明示的変換を行う。
[PHP]
文字列型の場合、ブラックリスト法は十分に有効
[PHP]
‘\”” , ” “);
[/PHP]

ファイル名・パス名など、利用される文字種が制限できる状況であれば、ホワイトリスト法が利用可能。
※ただし、Directory Traversal対策は別途必要。
[PHP]
詳しいことはPHPサイバーテロの技法に書かれてます。この本はすごくためになりました。著者の方に感謝。

その他14種類の脆弱性についてはこちらのページで一覧確認できます。

  • name:PHPで脆弱性の少ないセキュアなアプリを作るために実装時に意識すること | Web&MUSICブログ QUALL
  • date:2008/04/18
  • […] 2 => Script Insertion , […]

  • type:ピンバック [ ]

    WRITE COMMENT


    (required)


    (required)


    (required)

    MENU

    veltica creative of twitter