Q&A
「どのような攻撃」に対するセキュリティ対策でしょうか?
(どんな攻撃にも対応できる最強で万能な対策は、「サーバを完全に止めて何も行わない」ことだけです)
DBに接続をするファイルをrequireで読み込む時のインジェクション攻撃対策についてです。
(その他にもやっておくべき対策があれば是非ご教授くださいm(_ _)m)
調べてみたところ書き換え防止策として、defineを使って定数を定義する方やファイルの階層を分ける方など人によって様々な対策法があったのですが、このようなデータベース接続ファイルを分ける時のセキュリティ対策などのまとめが見つけられませんでした。
最低限これはやっておくべき、や別ファイルから読み込みをする際のソースコードや参考にしたまとめ、または皆様はこのような時にどういうところからコードを参考にしているかなど教えていただけますと有難いです。
最後まで読んでいただきありがとうございます!
「DBに接続をするファイル」って、DB接続時のID/Password などが書いてあるファイル、という理解でいいんでしょうか。
度々説明不足な部分がたくさんあり申し訳ございません。。
「DBに接続をするファイル」についてはDB接続に必要な情報が書いてあるファイル、という意味で質問させていただきました!
調べてみたところ、二つのファイルに分けて書く方を多く見つけたのですが、恥ずかしながらなぜ分けるのかも理解できておりません。。
何卒よろしくお願いいたしますm(_ _)m
回答1件
0
ベストアンサー
PHPコードはファイルを直接開かれない限りはブラウザから見てもコマンドでも実行結果、出力された情報しか見られることはないので、出力しなければどこに置いたとして漏れることはないです。
ただ、「ブラウザから参照でる領域」に持っておくと場所を知られる可能性があるので、「ブラウザから参照できない領域」に持っておくのがベターです。
既存フレームワークなどは、ドキュメントルート配下はindex.phpだけというパターンが多いです。
ちなみに、過去にも何度か同じような回答をした記憶があるので「見つけられない」ということはないと思います。おそらく探し方の問題もあるでしょうね。
投稿2021/01/27 02:45
総合スコア80875
ご回答いただきありがとうございます!
私の知識が浅いこともあり質問もわかりにくくなってしまい申し訳ないです。
>>過去にも何度か同じような回答をした記憶があるので「見つけられない」ということはないと思います。おそらく探し方の問題もあるでしょうね。
おっしゃる通りだと思います。
requireはあまり使ったことがなかったので今回使用するにあたりセキュリティ面で工夫すべき点がどこだろう?と思い探していたのですが、みなさんの書き方がそれぞれ違くどこまでを工夫すれば良いのかわからなくなってしまった(調べ方もわからない)ため質問させていただきました。
基礎のセキュリティについてまずは学び直してみようと思います。
ご回答ありがとうございました!
「見つけた」「みなさんの」
など、具体的な情報を出さないままだと誰も良し悪しを判断できません。
結局は「何を想定しているか」「何を守るか」など含めた「決め」の問題です。
「how」先行なので分からなくなります。
「why」「what」を先行すればアプリケーションとして意味が宿ります。
おまじないなんてものは本質的には存在しません。全て意味があり、その通りにしか動かないわけです。
あなたの回答
tips
プレビュー
