PHPのプログラム本やノウハウ本は多く出ていますが、セキュリティに関する本はあまり出ていません。
その中で僕が気に入っているPHPのセキュリティ本が「サーバーテロの技法」という本です。
実際のサイバーテロの方法を知り、、それに対するセキュリティを身に着けようという本です。

ぜひ、おすすめする本です。
また、この本に書かれているセキュリティ対策プログラムを1つのクラスとして作成しました。
本を読む時間が無い人はぜひダウンロードして使ってください。
クラスの仕様は以下となっています。
■セキュリティクラス「sanitize」の仕様
入力データ(GET/POST/COOKIE/SERVER(一部))の値に対して以下のアタック対策をします
(1)HTTPレスポンス分割攻撃対策
(2)magic_quotes_gpc対策、先頭/末尾不要文字対策、\t対策
(3)ディレクトリ遡り攻撃対策(※http://などのURLが投稿できないのでコメント中)
(4)ヌルバイト攻撃対策
表示データに対して以下の対策をします
(1)XSS対策
(2)\n\rを削除し、HTTPレスポンス分割攻撃対策
■セキュリティクラス「sanitize」の使用方法
1.クラスのダウンロード
2.sample.zipを解凍し、sampleフォルダにする
3.sampleフォルダの中の、sanitize.class.zip を自分のフォルダに配置
4.セキュリティをかけたいPHPファイルの1行目に以下を追加してください。これだけで入力データに関するセキュリティは完了です。
include_once(“sanitize.class.php”);
5.HTML表示するときは以下のようにしてください。これだけで表示データに関するセキュリティは完了です。
<?=$sanitize->getHtml(“表示する文字”)?>
解凍してできた sampleフォルダの中にあるindex.php がサンプルです。参考にしてください。
参考になりました?