本書は、セキュリティを意識したPHPプログラミングのポイントをわかりやすく解説するPHPセキュリティの入門書です。主要な攻撃パターンごとに、セキュリティを確保するために必要となるPHPプログラミングの基本的なアイデアを示して、有効な実践を詳しく解説。PHPセキュリティの基本を効率よく学ぶことができます。PHPプログラミングの入門者から、中級者以上にも役立つテクニックと情報が一読できます。PHPでセキュアなコードを書くなら、まずは本書をおすすめします。
入門 PHPセキュリティ
Chris Shiflett 著、桑村 潤、廣川 類 訳
- TOPICS
- Web , Security , PHP
- 発行年月日
- 2006年05月
- PRINT LENGTH
- 136
- ISBN
- 4-87311-286-9
- 原書
- Essential PHP Security
- FORMAT
目次
序文 はじめに 1章 導入 1.1 PHPの特徴 1.1.1 グローバル変数登録 1.1.2 エラーの報告 1.2 原理 1.2.1 多重防御 1.2.2 最小特権 1.2.3 シンプル・イズ・ビューティフル 1.2.4 データの流出は最小に 1.3 実践 1.3.1 リスクと使い勝手のバランス 1.3.2 データの追跡 1.3.3 入力のフィルタ 1.3.4 出力のエスケープ 2章 フォームとURL 2.1 フォームとデータ 2.2 セマンティックURL攻撃 2.3 ファイルアップロード攻撃 2.4 クロスサイトスクリプト攻撃 2.4.1 日本語とクロスサイトスクリプト対策 2.5 クロスサイトリクエストフォージ 2.6 偽装フォームのサブミット 2.7 HTTPリクエストの偽装 3章 データベースとSQL 3.1 アクセス証明書の流出 3.2 SQLインジェクション 3.2.1 日本語とSQLインジェクション対策 3.3 データの流出 4章 セッションとクッキー 4.1 クッキー泥棒 4.2 セッションデータの流出 4.3 セッション固定化攻撃 4.4 セッションハイジャック 5章 インクルード 5.1 ソースコードの流出 5.2 バックドアURL 5.3 ファイル名の改ざん 5.4 コードインジェクション 6章 ファイルとコマンド 6.1 トラバーサル攻撃 6.2 リモートファイルのリスク 6.3 コマンドインジェクション 7章 認証と認可 7.1 総当たり攻撃 7.2 パスワード盗聴 7.3 リプレー攻撃 7.4 持続的ログイン 8章 共有型ホスティング環境 8.1 ソースコードの流出 8.2 セッションデータの流出 8.3 セッションインジェクション 8.4 ファィルシステム閲覧 8.5 セーフモード 付録A 構成ディレクティブ A.1 allow_url_fopen A.2 disable_functions A.3 display_errors A.4 enable_dl A.5 error_reporting A.6 file_uploads A.7 log_errors A.8 magic_quotes_gpc A.9 memory_limit A.10 open_basedir A.11 register_globals A.12 safe_mode 付録B 関数 B.1 eval( ) B.2 exec( ) B.3 file( ) B.4 file_get_contents( ) B.5 fopen( ) B.6 include B.7 passthru( ) B.8 phpinfo( ) B.9 popen( ) B.10 preg_replace( ) B.11 proc_open( ) B.12 readfile( ) B.13 require B.14 shell_exec( ) B.15 system( ) 付録C 暗号 C.1 パスワードの格納 C.2 mcryptを使う C.3 クレジットカード番号の格納 C.4 セッションデータの暗号化 C.4.1 pgcryptoによるセッションデータの暗号化 索引