またなかなかなお話をご紹介しましょう。
■5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!(Hatena)■より
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとか、まだよくわかんない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ...
そのほか
PHP・Web系プログラム情報のポータルで見つかるかと…
他人のの感想ですが。。
[ “5分でできるPHPセキュリティ対策-ぼくはまちちゃん!(Hatena)” ]
[ (>ω<)ノ ]
[ いいとおもいます ]
[ キャーハマチチャアアアアアアアアアアアン ]
[ mysqli使わないなんて中学生までだよねー。だよねー。 ]
[ memo ]
[ この手の話は、書いた記事の間違いを指摘されるのが怖くて、すごい人しか書いてくれない上に、すごい人は厳密に書こうとして結局わかりにくくなるパターンが多いので、要ははまちちゃんありがとう。 ]
[ そういうのを明示しなくても全部フレームワークがやってくれる、みたいなのが安全だし楽でいい ]
[ 5分でできるPHPセキュリティ対策-ぼくはまちちゃん!(Hatena) ]
[ 5分でできない ]
[ クリックジャッキング対策も追記したよ ]
[ CRUD以外は基本的にJSで処理すれば良いんだよ。サーバサイドはデータ受け取って必要な情報をJSONかXMLで返すだけでOK ]
[ 最後メタなw ]
[ 正義のハッカー ]
[ PHPer的には、こういうのはウケそう(広まりそう)。継続的にこのURLが修正されればいいな…(とか ]
[ メモ:5分でできるPHPセキュリティ対策-ぼくはまちちゃん!(Hatena) ]
[ 試しに簡単なサービスを作ってみようと思っても全くWebアプリ系は触ってなくてわからない私にとっては理解の糸口になるこういうエントリって大好き。万が一記事内で何か誤ってても、自分で裏づけしない奴が悪い。 ]
[ はい ]
[ サンタさんがWebブラウザから見切れて以降の説明文は、すべて頭に入ったと思います。サンタさんで満足して閉じてなければね。 ]
[ はまちちゃんだしどこかにとらっぷがあるのかと思ったらとっても正攻法だったでござるの巻☆とりあえずhtmlspecialchars()の第3引数もつけたいぐらいかなぁ?(・x【みかん ]
[ CSRF対策やってないなぁ。 ]
[ htmlの属性部分(※)には、原則として動的なものを埋め込まない ]
[ php.iniの設定で、?=をデフォルトでエスケープ関数通すように変更したり出来ないのかな。 ]
[ XSSはエスケープでSQLインジェクションはプリペアドステートメントでCSRF対策は専用の対策ライブラリで。すんごく簡潔なまとめになってる。このくらいのこと書きたい&もし叩かれても大丈夫な人になりたいもんだ。 ]
[ NG例のソースにNGって埋め込んでコピペ防止してるのか ]
[ だいたいこんなものRailsだったら最初っから対策されて...あっそういえばX-FRAME-OPTIONSについては確認してないや ]
[ 「見る前に飛べ」は、なんか理屈捏ねーの大仰しいタイトルつけーのせずともこれでええねん。わかった? ]
[ いまだに“サンタさん”のバナーなのも、きっと何かのセキュリティ対策 ]
[ メモ ]
[ マジレスするとこうやれば安心という手順はないのに安心しているエンジニアのところに脆弱性は潜んでしまうという。最新情報はつねに入手しておきパスワードを一ヶ月単位で変更するポリシーくらいまでやらないと本当 ]
[ ちぇっく ]
[ 一つダウト。中規模程度のサイトで、共通化とか「それなに?美味しい?」状態でXSS対策として「全部エスケープ」しようとすると、5分どころか5ヶ月たっても…orz ]
[ セキュリティ対策は抑えておかないとね。 ]
[ ためになった/5分でできるPHPセキュリティ対策-ぼくはまちちゃん!(Hatena)(via@ReadItLater) ]
[ すばらしい。誰かがこの対策についての詳しい説明をしてくれれば更に役立つ ]
[ あとたぶん、この記事のブックマークコメントにも、セキュリティの偉い人の指摘がずらずら並ぶと思うから ]
[ 5分でできるPHPセキュリティ対策5分! ]
[ これで安心とは言えないけどセキュリティ対策ならこれぐらいはやれ、ということかね。 ]
[ なんか踏まされるんじゃないかと思って、デモのリンクをクリックするの躊躇しました。すみませんすみません ]
[ PHPは~、Perlは~、って、色んなフレームワークのダメなところを必死に解いて回る系のエヴァンジェリスト様よりもこっちのがよっぽど有り難い。 ]
[ へーPHPってセキュリティ的に弱いんだ。 ]
[ この「リンクを踏んだら負けな気がする」という己との戦い感がが ]
[ 5分 ]
[ viahttp://j.mp/AlPMPS ]
[ 安心の紙一重感のはまちちゃん。 ]
[ セキュリティ ]
[ この記事で言いたいのは「理屈がわからなくても、最初はコピペでも、なにもやらないより、やったほうがきっとマシになる!」ってところ? ]
[ しーさーふってどんな対策をしないといけないのかよくわかってなかった。これを見て勉強しましょ。 ]
[ 単純にコピペして使うと何かしら罠があるんじゃないか、とか探してしまった。 ]
[ 何もしないよりはマシなのは間違いない。ただ動的なものを埋めこまないは結構ハードル高いなw ]
[ たぶん、セキュリティとか、まだよくわかんない人が多いだけなんじゃないかな。ホンマにホンマに ]
[ X-FRAME-OPTIONSヘッダ知らなかった…徳丸本にも書いてるのにスルーしてた ]
[ エスケープなんかたまに忘れるし、SQLも無精して変数そのまま突っ込むときも。。Ajacsでechoするときなんかはちゃんとエスケープせんとな。。 ]
[ 素人からすると信用していいのか分からない感が凄いw ]
[ 今やってるサイトって…いかんいかん ]
[ HeadersetX-FRAME-OPTIONSDENYc⌒っ゚д゚)っφメモメモ... ]
[ セキュリティに詳しい人がいろいろ書いてくれるはずって書いてあるからコメントみたけどあんまりないw ]
[ PHP乗っかる方をバージョンアップしないで脆弱性放置とかもあるからセキュリティ難しいです(>_<) ]
[ JSPなんかもそうなんだけど,なんでテンプレート系言語は,や<%=%>で出力される文字をデフォルトでエスケープしないんだろ?「エスケープしないで出力するには特別なコード」なら脆弱性も減るだろうに。 ]
[ 「無条件に全部やればいいんだよ」っていうと「面倒くさいし」っていう。こだまでしょうか? ]
[ 大丈夫。はまちちゃんのセキュリティ対策だよ! ]
[ こんにちわこんにちわ! ]
[ 実際は人手でやると大変なのでフレームワーク側でうまくやっていきたいね ]
[ PHPからも放射能のジャリジャリ感が!(ブコメでなんか書けってフリがあったからつい…) ]
[ この記事の直前の記事が「僕の考えたすごいブラクラ」でなんかシュールで笑うww ]
[ 疑心暗鬼になってるコメントが多くておもしろい。 ]
[ 何分かかるかな(´∀`)5分でできるPHPセキュリティ対策-ぼくはまちちゃん!(Hatena) ]
[ Perlだったらこうすればいいよhttp://d.hatena.ne.jp/xlc/20070202/1170411537 ]
[ Smarty使えばいんじゃないすか? ]
[ これはまあサニタイズうんたらとセキュリティの大御所が騒ぎそうだなw ]
[ ホントに5分でした! ]
[ 「PHPはセキュリティがダメだから初心者は使うな」じゃなくて「初心者はまずこれだけやっとけ」ってのが初心者にとってはありがたいよねぇ。他に何をするべきかといった発想にもなりやすい。 ]
[ 新人君のテスト用にしたいな。読んで理解しなかったら減点。頭から信じたら減点。え、でもはまちちゃんじゃないですか!!で加点。ちゃんと読んで理解してたら加点。さいしょからやってたら加点。 ]
[ 「この記事のブックマークコメントにも~」の文が一番参考になる ]
[ ありがとうありがとう。 ]
[ 別にこれでいいんだけど、大事なのはこれらを確実に実行する仕組みを組み入れること。それがフレームワークだったりするのです。 ]
[ これ守るだけも大変そう。『htmlの属性部分には、原則として動的なものを埋め込まない』<難しくない?あと初心者にはmdb2はきついかも ]
いかがでしょう。。
今後もしばらく興味を引いたネタを紹介しますよ。
ちなみに
こちらもいいかもですよ。
PHP と MySQL でカジュアルに MapReduce する - Born Too Late
