ひとことでセキュリティといっても範囲が広すぎて全部カバーはできないと思いますので、
本当に最低限のことを言います。
また、ウェブアプリケーションへの攻撃手法んはさまざまなものがありませので以下の3つを正しく行うことで、多くの脆弱性を防げるかと思います。
1つ目は、入力値の厳格な検証について
2つ目は、出力時の適切なエスケープ処理
最後は、重複するような対策
・入力値の厳格な検証というのは、例えば、
ユーザーが数字などを入力する場合は、正の整数であるとし、この場合、
年齢とかを入力する場合は、最大が100程度にしておくとします。
たとえば、0から120以下の整数はエラーとし、処理を継続させないようにします。
このように検証することで、攻撃文字(’-- ;など)を入力されSQLインジェクション
を防ぐことにもつながります。
・出力時の適切なエスケープ処理について
特殊文字(「<」、「>」など)を適切な方法でエスケープすること。
・重複するような対策
例えば、ユーザーがパスワードの入力を再度求めるようにしておけば、セッションハイジャックでセッションが乗っ取られてしまった場合でも、
攻撃側はパスワードを知りえないので、被害の拡大を防ぐことができます。
以上の3点が最低限注意すべき点です。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。