PHPでセキュリティ対策をする
PHPのプログラム本やノウハウ本は多く出ていますが、セキュリティに関する本はあまり出ていません。
その中で僕が気に入っているPHPのセキュリティ本が「サーバーテロの技法」という本です。
実際のサイバーテロの方法を知り、、それに対するセキュリティを身に着けようという本です。
ぜひ、おすすめする本です。
また、この本に書かれているセキュリティ対策プログラムを1つのクラスとして作成しました。
本を読む時間が無い人はぜひダウンロードして使ってください。
クラスの仕様は以下となっています。
■セキュリティクラス「sanitize」の仕様
入力データ(GET/POST/COOKIE/SERVER(一部))の値に対して以下のアタック対策をします
(1)HTTPレスポンス分割攻撃対策
(2)magic_quotes_gpc対策、先頭/末尾不要文字対策、\t対策
(3)ディレクトリ遡り攻撃対策(※http://などのURLが投稿できないのでコメント中)
(4)ヌルバイト攻撃対策
表示データに対して以下の対策をします
(1)XSS対策
(2)\n\rを削除し、HTTPレスポンス分割攻撃対策
■セキュリティクラス「sanitize」の使用方法
1.クラスのダウンロード
2.sample.zipを解凍し、sampleフォルダにする
3.sampleフォルダの中の、sanitize.class.zip を自分のフォルダに配置
4.セキュリティをかけたいPHPファイルの1行目に以下を追加してください。これだけで入力データに関するセキュリティは完了です。
include_once(“sanitize.class.php”);
5.HTML表示するときは以下のようにしてください。これだけで表示データに関するセキュリティは完了です。
<?=$sanitize->getHtml(“表示する文字”)?>
解凍してできた sampleフォルダの中にあるindex.php がサンプルです。参考にしてください。
参考になりました?
■「ネット検閲は貿易障壁」 グーグル、欧米諸国に中国への牽制を要請―検閲の拡大を食い止められるのはあなた以外にない?
ブログ名称:Funnny Restaurant 犬とレストランとイタリア料理
こんにちは。グーグルが欧米諸国に中国への牽制を要請しています。しかし、この要請、今日の各国のサイバー軍の設置状況をみているとその有効性が疑問視されます。私のブログでは、各国のサイバー軍の現況と、個人レベルのセキュリティーの重要性について記載しました。特に、私自身がGoogleより私のGmailに不正なアクセスがあったむね、警告がでていたことを例としてだしてみました。この書籍の対策方法はかなり役にたちそうですね。詳細は、是非私のブログを御覧になってください。