ウェピックスではウェブ界の情報をピックアップします!
menu

2-4 データの汚染

Pocket

説明

データの汚染について
POINT

  • 開発者自身が作成したデータは信頼できる
  • すべての入力データ(外部から送信されるデータ)は汚染の可能性がある

アプリケーション自身で生成したデータは信頼できます。それ以外のデータはすべて汚染されている可能性があると考えると良いでしょう。PHPにとってそれは入力データです。入力データに関してはフィルタの頁で紹介していますので詳しくはこちらを参照下さい

信頼できるデータ

以下のようなアプリケーション自身で作成したデータは信頼できます。

$mail = 'mail@wepicks.net';//$mailは信頼できるデータです。

$mailは汚染リスクがない信頼できるデータです。

汚染の可能性のあるデータ
POINT

  • 入力フォームやブラウザのクッキーから渡されるデータ、データベースやセッションコンテナから取得したデータ等も入力データであり汚染リスクがある

入力フォーム等から渡されてくるデータ $_POST や $_GETなど、あるいは、ブラウザのクッキーから渡されてくるデータ、$_COOKIE、データベースから取得したデータ、これらすべては入力データであり、汚染されている可能性があるということを常に考えてコードを記述するよう心がけましょう。
入力データとはアプリケーション自身で作成したデータ以外のことです。リモートソースを起源とするデータです。フォームやクッキーから渡されるデータは勿論ですが、データベースやセッションコンテナから取得したデータ等も汚染リスクがあると考えてコードを記述した方がよりアプリケーションが安全となります。入力データに関してはフィルタの頁で紹介していますので詳しくはこちらを参照下さい

echo $_POST['name'];//汚染の可能性がある。
echo $_GET['name'];//汚染の可能性がある。
echo $_COOKIE['name'];//汚染の可能性がある。
echo $_SESSION['name'];//汚染の可能性がある。

汚染リスクのあるデータをどのように処理するかはフィルタの頁で詳しく説明していますので、こちらを参照下さい。

タグ(=記事関連ワード)

日付

投稿日:2012年7月15日
最終更新日:2012年08月29日

関連記事

このカテゴリの他のページ

この記事へのコメント

トラックバックurl

http://wepicks.net/phpsecurity-base-osen/trackback/