menu
ホーム > PHPセキュリティー > 11 共有サーバーの留意点 > 11-1 共有サーバーの留意点 [PHPセキュリティー]
UPDATE:2017年08月09日

11-1 共有サーバーの留意点 [PHPセキュリティー]

PHPセキュリティ
PHPセキュリティー 共有型ホスティング環境 | wepicks!


共有サーバー

POINT

  • 共有サーバーに設置したファイルはすべて流出の危険がある
  • 顧客情報など機密性の高い情報を扱う場合は共有サーバーは避ける

共有サーバーは複数のユーザーで一つのサーバーを使用しる共有型ホストです。共有サーバーは専用サーバーのように物理的に隔離されていないので、顧客情報や機密性の高い情報を扱う場合は避けるべきでしょう。共有サーバーに設置したファイルのソースコードは、すべて流出する可能性があると考えた方がよいでしょう。ドキュメントルートの外側に格納したファイルでも流出の可能性はあります。


データベースの利用

POINT

  • 機密性の高い情報は全てデータベースに格納
  • データベースへのアクセス認証ファイルの機密性が重要
  • データベースへのアクセス認証ファイルのフォルダ名はmd5
  • データベースへのアクセス認証ファイルへは root か 自分 のみに読み出し制限

共有サーバーの場合、機密性の高い情報は全てデータベースに格納する必要があります。その場合、データベースへのアクセス認証ファイルの機密性が重要になります。認証ファイルはドキュメントルート以外に設置し、格納するフォルダ名も md5 なので作成した見分けにくいフォルダ名にしましょう。また、認証ファイルは root自分 だけが読み出だせる設定にしましょう。

データベースアクセス証明書を次のフォーマットで設置する。

rootユーザーに制限

自分だけに制限


セッションデータの漏洩

POINT

  • セッションデータをデータベースに格納する

PHPのセッションデータが格納されるセッションデータコンテナは、通常 /temp の中に格納されます。この /temp はすべてのユーザから書き込みが出来ます。共有サーバーの場合は、 /temp フォルダを複数のユーザーがセッションデータを書き込んでいる場合もあります。セッション変数で機密情報を扱っている場合は非常に危険です。実際、共有サーバーで他のユーザーのセッション変数の内容を盗み見るスクリプトなど直ぐに書けるでしょう。

セッションデータをデータベースに格納することでセッションデータの漏洩を回避できます。また、データベースに格納することでセッションインジェクションのような危険な攻撃への防護策にもなります。

テーブルの作成

セッションデータをデータベースに格納する関数

SESSIONの呼び出し


タグ(=記事関連ワード)

日付

投稿日:2017年8月6日
最終更新日:2017年08月09日

このカテゴリの他のページ

この記事へのコメント

トラックバックurl

https://wepicks.net/phpsecurity-rentalserver/trackback/

page top