Q&A
ありがとうございます。
以下のようにIDをGETで渡して該当ページを表示させる場合ですが、
http://***/page.php?id=112
・IDが存在しない場合は404ページを返す
・IDの値を数値か否か確認し、数値でなければ404ページを返す
以外に、考えられる対策はありますでしょうか?
IDの値を細工されると、DBを操作される可能性があるとのお話しで、少し心配になりました。
PHPは5.1.6です。
該当ページ「page.php?id=112」の内容は、DBに書き込まれた情報を表示するのみです。
お手数ですが、宜しくお願いいたします。
回答3件
0
ベストアンサー
IPA 安全なwebサイトの作り方
にとてもよくまとまっているので一通り読んでチェックされることをお勧めします。
ご質問のへの回答としては、
入力時のバリデーションとしてはその通りでいいのですが、
原理的にSQLインジェクション(入力値によるDBの不正な操作)を防ぐには
SQL実行時に
・プリぺアードステートメントによって変数をバインドし、原理的にSQLインジェクションが発生しないようにする
それが出来ない場合
・mysql_real_escape_stringもしくはmysqli_real_escape_stringで変数をエスケープしてからSQLに組み込み、必要に応じてさらにシングルクオートで囲む
のどちらかが必要です。
また、PHPが古すぎてセキュリティ上大きな問題になるので(OSによってはバックポートされてるかも)
参考URLご確認の上、出来る限り最新の状態にされることをお勧めします。
投稿2016/06/24 08:52
総合スコア18713
0
GETでパラメータをもらって、DBへアクセスする際に最も注意すべきは、SQLインジェクションへの対策だと思います
とりあえず、IPAの以下のドキュメントを一読してはいかがでしょうか?
投稿2016/06/24 08:43
総合スコア924
0
予想外の値を入れられてエラー内容を表示させないように
.htaccess に
php_flag display_errors Off
を記載してエラー内容を表示しないようにする。
簡単な対策の一つとしてこういったものがあります。
投稿2016/06/24 08:45
総合スコア136
ありがとうございます。
これは出来ています。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2016/06/24 09:03
2016/06/24 09:47
退会済みユーザー
2016/06/24 23:51