2-4 データの汚染 [PHPセキュリティー]
PHPセキュリティ
データの汚染について
POINT
- 開発者自身が作成したデータは信頼できる
- すべての入力データ(外部から送信されるデータ)は汚染の可能性がある
アプリケーション自身で生成したデータは信頼できます。それ以外のデータはすべて汚染されている可能性があると考えると良いでしょう。PHPにとってそれは入力データです。入力データに関してはフィルタの頁で紹介していますので詳しくはこちらを参照下さい。
信頼できるデータ
以下のようなアプリケーション自身で作成したデータは信頼できます。
1 | $mail = 'mail@wepicks.net';//$mailは信頼できるデータです。 |
$mailは汚染リスクがない信頼できるデータです。$mailに格納されているデータは文字列の「mail@wepicks.net」であり、それ以外ではないということです。
汚染の可能性のあるデータ
POINT
- 入力フォームやブラウザのクッキーから渡されるデータ、データベースやセッションコンテナから取得したデータ等も入力データであり汚染リスクがある
入力フォーム等から渡されてくるデータ $_POST や $_GETなど、あるいは、ブラウザのクッキーから渡されてくるデータ、$_COOKIE、データベースから取得したデータ、これらすべては入力データであり、汚染されている可能性があるということを常に考えてコードを記述するよう心がけましょう。
入力データとはアプリケーション自身で作成したデータ以外のことです。リモートソースを起源とするデータです。フォームやクッキーから渡されるデータは勿論ですが、データベースやセッションコンテナから取得したデータ等も汚染リスクがあると考えてコードを記述した方がよりアプリケーションが安全となります。入力データに関してはフィルタの頁で紹介していますので詳しくはこちらを参照下さい。
1 2 3 4 5 6 | <?php echo $_POST['name'];//汚染の可能性がある。 echo $_GET['name'];//汚染の可能性がある。 echo $_COOKIE['name'];//汚染の可能性がある。 echo $_SESSION['name'];//汚染の可能性がある。 ?> |
汚染リスクのあるデータをどのように処理するかはフィルタの頁で詳しく説明していますので、こちらを参照下さい。
タグ(=記事関連ワード)
タグ: PHPセキュリティー
日付
投稿日:2017年8月6日
最終更新日:2017年08月08日
最終更新日:2017年08月08日
このカテゴリの他のページ
この記事へのコメント
トラックバックurl
https://wepicks.net/phpsecurity-base-osen/trackback/
このカテゴリの注目ページ
おすすめページ
目次
新着・更新
サイトについて
ITと市場の情報を発信『Wepicks(ウィーピックス)』PHPやPythonなどのプログラム言語、エネルギー価格、FXなど、ITと市場をマッチング。
