連載

なぜPHPアプリにセキュリティホールが多いのか?

大垣靖男

「PHPのセキュリティは最悪だ」とよく聞きませんか？
本連載では，そのあたりの本当のところを探りながら，Webアプリケーションのセキュリティ対策について考えます。

第27回　見過ごされているWebアプリケーションのバリデーションの欠陥
- 文字エンコーディングバリデーションの必要性
- データベースシステムの場合
- 文字エンコーディングバリデーションの重要性に対する無理解
- 文字エンコーディングを正しく扱わないリスク
- 文字エンコーディングのバリデーション
- オプションモジュールのmbstring
- auto_prepend_fileの利用
- ファイルアップロードと文字エンコーディングの自動変換
- まとめ
2009年6月22日
第26回　まだまだ残っているファイル読み込みバグ
- つい最近のファイル読み込みバグ
- require／include文とファイル読み込みバグの問題
- スクリプト読み込みの対策
- スクリプト専用のrequire／include
- まとめ
2009年6月10日
第25回　PHPのアキレス腱 ── セッション管理
- セッションアダプションとは
- セッションアダプションとクッキー
- セッションアダプション攻撃からの防御
- まとめ
2009年5月13日
第24回　無くならないSQLインジェクション脆弱性
- SQLインジェクション対策
- 実際のSQLインジェクション脆弱性
- SQLインジェクション脆弱性が狙われる理由
- 狙われないための対策
- まとめ
2009年4月30日
第23回　まだまだ残っているCSRF攻撃
- CSRFの動作原理
- CSRFを利用した攻撃
- CSRFの対策
- まとめ
2009年2月20日
第22回　文字エンコーディングとセキュリティ（4）
- 文字列の正規化を利用した攻撃
- その他のエンコーディングを利用した攻撃
- 文字エンコーディングを利用した攻撃への対策のまとめ
2009年1月30日
第21回　文字エンコーディングとセキュリティ（3）
- 文字エンコーディングのエスケープ方式を利用する方法
- SJISに対する攻撃
- まとめ
2009年1月16日
第20回　文字エンコーディングとセキュリティ（2）
- 文字エンコーディングを利用した攻撃の原理
- 文字エンコーディングについて
- 不正な文字エンコーディングを利用した攻撃
- 文字エンコーディングを誤認識させる（誤認識を利用する）攻撃
- まとめ
2008年12月26日
第19回　文字エンコーディングとセキュリティ（1）
- 文字エンコーディングは厳格に扱わなければならない
- 文字エンコーディングを利用した攻撃の認知
- 文字エンコーディングを利用した攻撃の種類
- まとめ
2008年12月12日
第18回　XPathインジェクション（その3）
- 基本的なXPathインジェクション
- ブラインドXPathインジェクション
- XPathインジェクション対策
- まとめ
2008年11月14日
第17回　XPathインジェクション（その2）
- PHPのXPath機能
- DOMXPathの利用方法
- XML文書をユーザ認証データベースとして利用
- まとめ
2008年10月30日
第16回　XPathインジェクション（その1）
- XPath入門 ─ XPathとは
- XPathとほかのXML規格
- PostgreSQL8.3とXPath
- XPathの基本
- まとめ
2008年10月15日
第15回　減らないSQLインジェクション脆弱性（解答編）
- SQLインジェクションクイズの答え
- 減らないSQLインジェクション攻撃
- SQLインジェクション攻撃対策
2008年9月30日
第14回　減らないSQLインジェクション脆弱性
- SQLインジェクションクイズ
- SQLインジェクションを目的としたコードのチェック
- SQLインジェクション脆弱性チェックのポイント
- 実際の確認手順
2008年9月17日
第13回　最後のPHP4 ── PHP4.4.9リリース
- PHP4をより安全に利用するTIPS
2008年8月28日
【スクリプトインジェクション対策19】ユーザを教育する
2008年4月30日
【スクリプトインジェクション対策18】ログイン処理を正しく実装する
2008年4月28日
【スクリプトインジェクション対策17】パスワードを正しく管理する
2008年4月25日
【スクリプトインジェクション対策16】関連するサイトが利用しているドメイン名の一覧を提供する
2008年4月24日
【スクリプトインジェクション対策15】JavaScriptが無効なクライアントでも利用可能なサイトにする
2008年4月23日

大垣靖男（おおがきやすお）

University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て，エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し，Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは，PostgreSQLモジュールのメンテナンスを担当している。

URL：http://blog.ohgaki.net/

著書

多数の情報処理技術者試験対策書籍の発行実績を誇る技術評論社がお届けする，資格試験合格サイト「めざせ！情報処理試験パスサポ」が開設されました。

サクセスストーリーに続く，快適サーバー運用管理のヒント！: データの増大，煩雑な管理，システムダウン，セキュリティなど，迫りくる課題からシステム管理者の負担を軽くするポイントを解説します。
gihyo.jp インフラエンジニア情報局: ネットワークやITにかかわるあらゆる業種で必要とされるインフラエンジニアに向けた技術情報や心構え，その魅力について多角的に紹介。
テストエンジニアステーション: いま，ITに関わるあらゆる開発業務で注目されつつあるテスト系エンジニアをターゲットにしたコンテンツサイトを展開します。

※検索はページ右上の検索ボックスをご利用ください。

もっと便利に！jQueryでラクラクサイト制作（実践サンプル付き）: 本連載では，実践サンプルとともに，jQueryを上手に活用してサイト制作の品質向上・効率化を実現するための実践テクニックを解説します。
サクセスストーリーに続く，快適サーバー運用管理のヒント！: サーバーを自社で運用管理するのはもう限界…。データの増大，煩雑な管理，システムダウン，セキュリティなど，迫りくる課題からシステム管理者の負担を軽くするポイントを解説します。
続・先取り！ Google Chrome Extensions: 2010年1月のリリースが予定されているGoogle Chrome 4に搭載されるExtensionsについて，その詳細を先取りで解説します。最新情報から，ユーザースクリプトやテーマの作り方など関連情報もお届けします。
モダンPerlの世界へようこそ: この連載では，Perlの世代間ギャップに悩んでいる方に，いくらかの背景知識と，これだけは知っておいたほうがよいという最低限の慣用句をお届けします。
Hosting Department：ホスティングを活用するための基礎知識: 本連載では，ホスティングサービスを活用する上で知っておきたい基礎知識を解説します。
Blogopolisから学ぶ計算幾何: 計算幾何学は，図形に関するアルゴリズムを研究するコンピュータサイエンスの一分野です。本連載では，ビジュアルブログ検索エンジン「Blogopolis」で採用されている計算幾何のアプローチを例に取り上げながら，計算幾何の初歩を実践的に学習します。
Windows phoneアプリケーション開発入門: Windows Marcketplace for Mobileがサービス開始され，作成したアプリケーションを個人でも世界をターゲットに公開できる環境が整ってきました。これを機にWindows phoneアプリケーションの開発をしてみませんか？
いま，見ておきたいウェブサイト: この連載では，国内外の最新のウェブサイトを隔週更新で取り上げ，これら最新サイトの特徴や素晴らしい部分を，さまざまな角度から解説していきます。