回答編集履歴
2
追記
test
CHANGED
|
@@ -29,3 +29,39 @@
|
|
|
29
29
|
今回の話は、まんま2のケースです。
|
|
30
30
|
|
|
31
31
|
3の話は、今時のPHPなら大丈夫だと思うけど、昔は・・・
|
|
32
|
+
|
|
33
|
+
|
|
34
|
+
|
|
35
|
+
おっと、これに誰も触れてないけど・・・
|
|
36
|
+
|
|
37
|
+
> 取得した値は、そのままデータとして保存するように使用する予定です。
|
|
38
|
+
|
|
39
|
+
|
|
40
|
+
|
|
41
|
+
[セキュアプログラミング講座](https://www.ipa.go.jp/files/000059838.pdf)の中でもうたってますが、
|
|
42
|
+
|
|
43
|
+
|
|
44
|
+
|
|
45
|
+
> 実装原則1:Validate input.
|
|
46
|
+
|
|
47
|
+
すべての信頼されていないデータソースからの入力を検証する。
|
|
48
|
+
|
|
49
|
+
適切な入力検証は、多くのソフトウェアの脆弱性を緩和することができる。
|
|
50
|
+
|
|
51
|
+
コマンドライン引数、ネットワーク・インタフェース、環境変数、およびユーザが管理し
|
|
52
|
+
|
|
53
|
+
ているファイルなど**ほとんどの外部データソースは信頼できない。**
|
|
54
|
+
|
|
55
|
+
DBMS から取得したものも行うこと。特に Web の場合はユーザフォームからの入力だけ
|
|
56
|
+
|
|
57
|
+
ではなく、クッキーや HTML のヘッダーブロックの値なども含めてクライアントから受け
|
|
58
|
+
|
|
59
|
+
取った値を使用する場合には精査する。
|
|
60
|
+
|
|
61
|
+
|
|
62
|
+
|
|
63
|
+
サニタイズされずにDBに格納されることがあるので、**DBMS から取得したものも行うこと。**
|
|
64
|
+
|
|
65
|
+
という原則があります。
|
|
66
|
+
|
|
67
|
+
自システムだけで閉じてればいいけど、他システムからデータがIFされることがあります。
|
1
入力対策のリンク直した
test
CHANGED
|
@@ -10,7 +10,7 @@
|
|
|
10
10
|
|
|
11
11
|
|
|
12
12
|
|
|
13
|
-
[入力対策](https://www.ipa.go.jp/security/awareness/vendor/programmingv2/
|
|
13
|
+
[入力対策](https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/504.html)
|
|
14
14
|
|
|
15
15
|
|
|
16
16
|
|