連載

なぜPHPアプリにセキュリティホールが多いのか?

大垣靖男

「PHPのセキュリティは最悪だ」とよく聞きませんか？
本連載では，そのあたりの本当のところを探りながら，Webアプリケーションのセキュリティ対策について考えます。

第27回　見過ごされているWebアプリケーションのバリデーションの欠陥
- 文字エンコーディングバリデーションの必要性
- データベースシステムの場合
- 文字エンコーディングバリデーションの重要性に対する無理解
- 文字エンコーディングを正しく扱わないリスク
- 文字エンコーディングのバリデーション
- オプションモジュールのmbstring
- auto_prepend_fileの利用
- ファイルアップロードと文字エンコーディングの自動変換
- まとめ
2009年6月22日
第26回　まだまだ残っているファイル読み込みバグ
- つい最近のファイル読み込みバグ
- require／include文とファイル読み込みバグの問題
- スクリプト読み込みの対策
- スクリプト専用のrequire／include
- まとめ
2009年6月10日
第25回　PHPのアキレス腱 ── セッション管理
- セッションアダプションとは
- セッションアダプションとクッキー
- セッションアダプション攻撃からの防御
- まとめ
2009年5月13日
第24回　無くならないSQLインジェクション脆弱性
- SQLインジェクション対策
- 実際のSQLインジェクション脆弱性
- SQLインジェクション脆弱性が狙われる理由
- 狙われないための対策
- まとめ
2009年4月30日
第23回　まだまだ残っているCSRF攻撃
- CSRFの動作原理
- CSRFを利用した攻撃
- CSRFの対策
- まとめ
2009年2月20日
第22回　文字エンコーディングとセキュリティ（4）
- 文字列の正規化を利用した攻撃
- その他のエンコーディングを利用した攻撃
- 文字エンコーディングを利用した攻撃への対策のまとめ
2009年1月30日
第21回　文字エンコーディングとセキュリティ（3）
- 文字エンコーディングのエスケープ方式を利用する方法
- SJISに対する攻撃
- まとめ
2009年1月16日
第20回　文字エンコーディングとセキュリティ（2）
- 文字エンコーディングを利用した攻撃の原理
- 文字エンコーディングについて
- 不正な文字エンコーディングを利用した攻撃
- 文字エンコーディングを誤認識させる（誤認識を利用する）攻撃
- まとめ
2008年12月26日
第19回　文字エンコーディングとセキュリティ（1）
- 文字エンコーディングは厳格に扱わなければならない
- 文字エンコーディングを利用した攻撃の認知
- 文字エンコーディングを利用した攻撃の種類
- まとめ
2008年12月12日
第18回　XPathインジェクション（その3）
- 基本的なXPathインジェクション
- ブラインドXPathインジェクション
- XPathインジェクション対策
- まとめ
2008年11月14日
第17回　XPathインジェクション（その2）
- PHPのXPath機能
- DOMXPathの利用方法
- XML文書をユーザ認証データベースとして利用
- まとめ
2008年10月30日
第16回　XPathインジェクション（その1）
- XPath入門 ─ XPathとは
- XPathとほかのXML規格
- PostgreSQL8.3とXPath
- XPathの基本
- まとめ
2008年10月15日
第15回　減らないSQLインジェクション脆弱性（解答編）
- SQLインジェクションクイズの答え
- 減らないSQLインジェクション攻撃
- SQLインジェクション攻撃対策
2008年9月30日
第14回　減らないSQLインジェクション脆弱性
- SQLインジェクションクイズ
- SQLインジェクションを目的としたコードのチェック
- SQLインジェクション脆弱性チェックのポイント
- 実際の確認手順
2008年9月17日
第13回　最後のPHP4 ── PHP4.4.9リリース
- PHP4をより安全に利用するTIPS
2008年8月28日
【スクリプトインジェクション対策19】ユーザを教育する
2008年4月30日
【スクリプトインジェクション対策18】ログイン処理を正しく実装する
2008年4月28日
【スクリプトインジェクション対策17】パスワードを正しく管理する
2008年4月25日
【スクリプトインジェクション対策16】関連するサイトが利用しているドメイン名の一覧を提供する
2008年4月24日
【スクリプトインジェクション対策15】JavaScriptが無効なクライアントでも利用可能なサイトにする
2008年4月23日

大垣靖男（おおがきやすお）

University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て，エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し，Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは，PostgreSQLモジュールのメンテナンスを担当している。

URL：http://blog.ohgaki.net/

著書

多数の情報処理技術者試験対策書籍の発行実績を誇る技術評論社がお届けする，資格試験合格サイト「めざせ！情報処理試験パスサポ」が開設されました。

サクセスストーリーに続く，快適サーバー運用管理のヒント！: データの増大，煩雑な管理，システムダウン，セキュリティなど，迫りくる課題からシステム管理者の負担を軽くするポイントを解説します。
gihyo.jp インフラエンジニア情報局: ネットワークやITにかかわるあらゆる業種で必要とされるインフラエンジニアに向けた技術情報や心構え，その魅力について多角的に紹介。
テストエンジニアステーション: いま，ITに関わるあらゆる開発業務で注目されつつあるテスト系エンジニアをターゲットにしたコンテンツサイトを展開します。

※検索はページ右上の検索ボックスをご利用ください。

最新ソフトウェアプロテクションの導入方法（3/8～4/16）
Adobe FLASH PLATFORM CAMP Tokyo（3/16）
「組込みデータベースを利用した開発のポイントとDeviceSQLのご紹介」セミナー（3/17）

Ubuntu Weekly Recipe: Ubuntuの強力なデスクトップ機能を活用するための，いろいろなレシピをお届けします。
C/C++プログラマのためのDTrace入門: よくカーネルのチューニングや解析で活用されるDTraceですが，実はユーザプログラムの開発においても非常に有用です。連載ではC/C++プログラマやテストに関わる方向けにDTraceの使い方を解説します。
Blogopolisから学ぶ計算幾何: 計算幾何学は，図形に関するアルゴリズムを研究するコンピュータサイエンスの一分野です。本連載では，ビジュアルブログ検索エンジン「Blogopolis」で採用されている計算幾何のアプローチを例に取り上げながら，計算幾何の初歩を実践的に学習します。
検索エンジンはいかにして動くのか？: 本連載では, 今や誰もが利用している検索エンジンの中身を，全体の仕組みやデータ構造，アルゴリズムから分散インデックスまで，最近の研究事例も交えて紹介します。
サイエンスに片思い: 本連載では，サイエンスという学問を軸に，そこから広がる可能性やつながり，そしてWebの世界との関係について，前田邦宏氏がさまざまな取材を元に考察し，これからの可能性について展望します。
使ってみよう！ Windows Live SDK/API: Windows Liveサービスの一部にはAPIやSDKとして提供されているものがあります。本連載では各API・SDKの紹介とそれらを利用したアプリケーションを開発していきます。
Lifelog～毎日保存したログから見えてくる個性: コンピュータを使って，日常のさまざまなことの記録（ログ）をとり，それを分析して活用することで，もう一段階上の「楽な生活」をめざす日々の研究報告です。
もっと便利に！jQueryでラクラクサイト制作（実践サンプル付き）: 本連載では，実践サンプルとともに，jQueryを上手に活用してサイト制作の品質向上・効率化を実現するための実践テクニックを解説します。