menu
ホーム > PHPセキュリティー > 2 セキュリティーの基礎 > 2-4 データの汚染 [PHPセキュリティー]
UPDATE:2017年08月08日

2-4 データの汚染 [PHPセキュリティー]

PHPセキュリティ


データの汚染について

POINT

  • 開発者自身が作成したデータは信頼できる
  • すべての入力データ(外部から送信されるデータ)は汚染の可能性がある

アプリケーション自身で生成したデータは信頼できます。それ以外のデータはすべて汚染されている可能性があると考えると良いでしょう。PHPにとってそれは入力データです。入力データに関してはフィルタの頁で紹介していますので詳しくはこちらを参照下さい


信頼できるデータ

以下のようなアプリケーション自身で作成したデータは信頼できます。

$mailは汚染リスクがない信頼できるデータです。$mailに格納されているデータは文字列の「mail@wepicks.net」であり、それ以外ではないということです。


汚染の可能性のあるデータ

POINT

  • 入力フォームやブラウザのクッキーから渡されるデータ、データベースやセッションコンテナから取得したデータ等も入力データであり汚染リスクがある

入力フォーム等から渡されてくるデータ $_POST や $_GETなど、あるいは、ブラウザのクッキーから渡されてくるデータ、$_COOKIE、データベースから取得したデータ、これらすべては入力データであり、汚染されている可能性があるということを常に考えてコードを記述するよう心がけましょう。
入力データとはアプリケーション自身で作成したデータ以外のことです。リモートソースを起源とするデータです。フォームやクッキーから渡されるデータは勿論ですが、データベースやセッションコンテナから取得したデータ等も汚染リスクがあると考えてコードを記述した方がよりアプリケーションが安全となります。入力データに関してはフィルタの頁で紹介していますので詳しくはこちらを参照下さい

汚染リスクのあるデータをどのように処理するかはフィルタの頁で詳しく説明していますので、こちらを参照下さい。


タグ(=記事関連ワード)

日付

投稿日:2017年8月6日
最終更新日:2017年08月08日

関連記事

このカテゴリの他のページ

この記事へのコメント

トラックバックurl

http://wepicks.net/phpsecurity-base-osen/trackback/

page top