SQLインジェクション,XSSå¯¾ç– - rytich's diarySQLインジェクション 今夜分ã‹ã‚‹SQLインジェクション対ç–:Security&Trust ウォッãƒï¼ˆ42) - ï¼ IT クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(XSS) 第1回 悪æ„ã®JavaScriptã§æƒ…å ±ãŒæ¼ãˆã„ | 日経 xTECH(クãƒã‚¹ãƒ†ãƒƒã‚¯ï¼‰ クライアント(ユーザー)ã‹ã‚‰ã®ãƒªã‚¯ã‚¨ã‚¹ãƒˆã¯ä¿¡é ¼ã—ãªã„ 悪æ„ã®ã‚るコードãŒå«ã¾ã‚Œã¦ã„ã‚‹å‰æã§ã‚³ãƒ¼ãƒ‡ã‚£ãƒ³ã‚°ã™ã‚‹ è¦å‰‡æ€§ã®ã‚るコーディングã§å‡¦ç†ã®æ¼ã‚Œãƒ»ãƒã‚°ã‚’ãµã›ã 統一ã•ã›ã‚‹ã“ã¨ã§ã‚³ãƒ¼ãƒ‰ã®å¯èªæ€§ã‚‚ã‚ãŒã‚‹ リクエストデータã®ãƒãƒªãƒ‡ãƒ¼ã‚·ãƒ§ãƒ³(æ£å½“性検証) クライアントå´(JavaScript)ã§ã®æ£å½“性ãƒã‚§ãƒƒã‚¯ã¯åŠ¹æžœãŒãªã„ (ユーザビリティã®ã¿) selectボックスãªã©ã‹ã‚‰ã®ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚‚検証ã™ã‚‹ (引数ã«ã¯ã©ã‚“ãªãƒ‡ãƒ¼ã‚¿ã§ã‚‚å«ã¾ã›ã‚‹ã“ã¨ãŒã§ãã‚‹) メールアドレスや文å—数制é™ãªã©ã®æ¤œè¨¼ã‚‚è¡Œã†ã“ã¨ã§DBã«è¡Œãå‰ã«ãƒã‚§ãƒƒã‚¯ (è² è·å¯¾ç–ã«ã‚‚) 対ç–:クライアン
javascriptã§phpã®htmlspecialchars()ã«ç›¸å½“ã™ã‚‹å‡¦ç†ã‚’実行ã™ã‚‹æ–¹æ³•ã‚’æ•™ãˆã¦ä¸‹ã•ã„。
ï¼ IT:クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング対ç–ã®åŸºæœ¬
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング - Wikipedia
htmlspecialchars/htmlentitiesã®æ£ã—ã„使ã„æ–¹
T.Teradaã®æ—¥è¨˜ HTML Purifierを試ã—ãŸ
HTMLを許å¯ã—ã¤ã¤XSS対ç–ã‚’è¡Œãˆã‚‹PHPライブラリ「HTML Purifierã€:phpspot開発日誌
http://htmlpurifier.org/
{{#tags}}- {{label}}
{{/tags}}