1-1 はじめに [PHPセキュリティー]

PHPのセキュリティーを考えることは、「PHPはどのようなものか」ということを考えることでもあります。

PHPはウェブ開発に最適化された言語です。もともと動的なウェブコンテンツを作成するために開発されました。PHPはモジュールとしてウェブサーバーに組み込んだ場合でも、独立したCGIバイナリとして実行される場合でも、サーバーへのネットワーク接続を開くことができます。従って、シェルユーザーコマンド(OSを操作するプログラム)を全て実行可能な完全なサーバーアプリケーションを作成することもできます。一方で、厳しく制御された環境で低リスクの簡単なサーバーサイドインクルードを使用できるようなウェブアプリケーションを構築することも出来ます。また、PHPには多くの拡張モジュールがあり、設定の自由度は非常に高いものです。

このように、PHPでは様々な環境の構築方法がり、その内容は開発者に委ねられます。どのような環境を構築するかによってセキュリティーのレベルは大きく変わります。つまりセキュリティーはPHPの開発者に大きく依存することになります。

このサイトでは、主に低リスクのサーバーサイドインクルードにおけるウェブアプリケーションを構築する際、セキュリティーの観点から、コードを記述する上での注意事項を考え、一般的に認知度が高いウェブアプリケーションへの攻撃とその防御策を紹介したいと思います。基礎的な事ですが初心者にとってはとても重要なことです。

※セキュリティーにおいて、「最新のバージョンを利用すること」「最先端の情報を取得すること」このことはとても大切なことです。

• PHP Manual セキュリティー　http://www.php.net/manual/ja/security.php
• PHP Security Consortium　http://phpsec.org/projects/guide/