Q&A
ありがとうございます。
filter_inoutは、使うようにします。
###前提・実現したいこと
PHPだけとは限らないと思いますが、POSTやGETで値を受け取り
それをMYSQLにinsertやupdateをする際にやっておくことは
ありますか?
ちょっと漠然としていて、申し訳ありませんが、
例えば出力する際は、htmlspecialcharsはすべきだとか、
あると思います。
strip_tagって、やったほうがいいのでしょうか?
filter_inputって、やったほうがいいのでしょうか?
などなど。。。
全部はきりがないと思いますが、どれくらいするのかな?と
疑問があり、ご意見をいただければと存じます。
現在一応、PDOでPREPAREを使用しております。
これだけでいいのでしょうか???
社内システム程度のものをロリポップに設置しており、
金銭的な情報は扱わず、どちらかというと日報的な
文字ベースの情報を扱うシステムでのご相談です。
あまりにも漠然とした質問ですが、お付き合い頂けるかたが
いらっしゃれば、ぜひ、ご教授ください。
*テーマが重たすぎるので、ある程度のところで解決済みにします。
###補足情報(言語/FW/ツール等のバージョンなど)
ロリポップのレンタルサーバー
回答4件
0
ベストアンサー
IPAが
安全なwebサイトの作り方
で考え方からチェックシートまで配布していて
とてもためになる資料なので一読をお勧めします。
回答としては、全部の変数がプリペアードステートメントで処理されているのであれば、
SQLインジェクションの心配はありません。
また、DBにinsertするタイミングではHTMLエスケープはするべきでは無く、
HTML出力するタイミングで(テンプレートエンジンを使うなりして、原則としてすべての値を)エスケープするというのがここしばらくの主流の考えだと思います。
*これに関しては異論も存在しますし、絶対的なものではありません。
投稿2016/11/27 18:47
総合スコア18713
0
- htmlspecialcharsはしない
- strip_tagはしない
- filter_inputはする
DBへの登録は基本的には生データのまま行うのが原則ですが
バリデートは入出力の基本ですから想定しないデータをDBに保持する意味がなので
なんらかのフィルターはかけたほうがよいでしょう
投稿2016/11/28 00:23
総合スコア114769
0
皆様ありがとうございました。
PDOのPREPAREは必須で、あとは、filter_inputと文字数制限などの
ケアをしておけば現時点ではよさそうですね、
画面上での、maxlengthなどのチェックをきっちり追加すること、
JAVASCRIPTなどで、文字のチェックなどを行い、filter_inputを
使うようにします。
また、クリックジャッキング等も今勉強中ですので、ここでも疑問が
出てきたら、またその折には、ご指導よろしくお願いします。
投稿2016/11/28 09:30
総合スコア65
maxlengthやJavascriptでの制限はセキュリティ的には「一切」意味が無いので、
あくまでユーザーインターフェイスの利便性を提供するものと考えたほうがいいですね。
ありがとうございます。
えーと思って調べましたが、確かに利便性にしかならないですね。
0
プリペアドステートメントを利用しているのであれば、SQLインジェクションの心配はないですね。
HTMLエスケープについては、データベースに入れる際に絶対しなければということはありません。
これはビューに表示する際の問題なので、毎回変換するより入れるときに変えてしまえ的なポリシーでよければいいのではないでしょうか。
やっておくこととして、値の有効性のチェック、長さのチェック等でしょうか。
投稿2016/11/27 18:26
総合スコア6621
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/11/28 03:53