連載

なぜPHPアプリにセキュリティホールが多いのか?

大垣靖男

「PHPのセキュリティは最悪だ」とよく聞きませんか？
本連載では，そのあたりの本当のところを探りながら，Webアプリケーションのセキュリティ対策について考えます。

【スクリプトインジェクション対策04】不正なセッションIDの利用がないか記録する
2008年4月8日
【スクリプトインジェクション対策03】セッションIDが利用できる範囲を制限する
2008年4月7日
【スクリプトインジェクション対策02】セッションIDを頻繁に変更する
2008年4月4日
【スクリプトインジェクション対策01】セッションクッキーを利用する
2008年4月3日
第12回　フェイルセーフ ── 万が一に備える
- なぜフェイルセーフ機能が必要なのか?
- スクリプトインジェクション／セッションハイジャックに備える
2008年4月2日
第11回　スクリプトインジェクションを防ぐ10のTips
- デフォルト文字エンコーディングを指定
- 文字エンコーディングを入力時にチェック
- 入力文字列は厳格にバリデーション
- 出力する場合はエスケープした出力をデフォルトに設定
- エスケープせずに出力する場合，確実に安全であることを確認
- strip_tags関数では許可タグを設定しない
- HTMLのパースに正規表現は利用しない
- タグや属性を出力する場合は厳格なホワイトリストで確認
- CSSファイル生成に注意を払う
- JavaScript生成に注意を払う
2007年12月17日
第10回　スクリプトインジェクションが無くならない10の理由
- 複雑な攻撃経路と対策
- 新しい技術やブラウザの導入
- 知識不足
- コードの独り歩き
- リソース不足
- 不適切な対策
- コードレビューの不在
- 国際化の壁
- フレームワークの不在
- 不適切な設定
2007年11月12日
第9回　クロスサイトスクリプティングの名称と種類
- クロスサイトスクリプティングの名称
- スクリプトインジェクションの原因・対策
- ブラウザに対するスクリプトインジェクションの種類
- Type0のスクリプトインジェクション
- Type1のスクリプトインジェクション
- Type2のスクリプトインジェクション
- プラグインを必要とするファイルのサポート
- まとめ
2007年9月27日
第8回　クロスサイトスクリプティング対策の落とし穴
- JavaScriptを排除しているつもりで排除に失敗？！
- サニタイズ処理の問題
- バリデーション処理をしよう
- Webアプリケーション開発フレームワークを使っているから安全！？
- まとめ
2007年8月10日
第7回　いまさらながらクロスサイトスクリプティングの基礎の基礎
- クロスサイトスクリプティングとは？
- なぜクロスサイトスクリプティングは危険な脆弱性なのか？
- なぜクロスサイトスクリプティングは無くならないのか？
2007年7月23日
第6回　意外に知られていないブラインドSQLインジェクション
- SQLインジェクションの常識
- ブラインドSQLインジェクション
- SQLインジェクション脆弱性は非常に危険
2007年6月11日
第5回　まだまだ残っているSQLインジェクション
- SQLインジェクションの動作原理
- 間違ったSQLインジェクション対策
- 正しいSQLインジェクション対策
- まとめ
2007年4月19日
第4回　なぜPHP本体にバグが多いのか?
- PHP本体のセキュリティ関連バグは多い?
- PHPは使いづらい!?
2007年3月22日
第3回　Webアプリは気楽なアプリ?!
- 利用者と開発者の認識
- Webアプリは気楽なアプリ?!
- セキュリティは専門知識?!
2007年2月28日
第2回　CVEでみるPHPアプリケーションセキュリティ（その2）
- PHPアプリケーションの脆弱性は本当に多いのか？
- 同じアプリに含まれる複数の脆弱性
- セキュリティを確保しづらいアプリケーションが多い
- PHPで書かれたOSSのWebアプリが多い
- 被害を避けるには?
2007年2月1日
第1回　CVEでみるPHPアプリケーションセキュリティ
- PHPアプリケーションの脆弱性は本当に多いのか？
- PHPアプリケーションでの特徴的な脆弱性
- register_globalsの罠
- 対策
2007年1月15日

大垣靖男（おおがきやすお）

University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て，エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し，Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは，PostgreSQLモジュールのメンテナンスを担当している。

URL：http://blog.ohgaki.net/

著書

多数の情報処理技術者試験対策書籍の発行実績を誇る技術評論社がお届けする，資格試験合格サイト「めざせ！情報処理試験パスサポ」が開設されました。

サクセスストーリーに続く，快適サーバー運用管理のヒント！: データの増大，煩雑な管理，システムダウン，セキュリティなど，迫りくる課題からシステム管理者の負担を軽くするポイントを解説します。
gihyo.jp インフラエンジニア情報局: ネットワークやITにかかわるあらゆる業種で必要とされるインフラエンジニアに向けた技術情報や心構え，その魅力について多角的に紹介。
テストエンジニアステーション: いま，ITに関わるあらゆる開発業務で注目されつつあるテスト系エンジニアをターゲットにしたコンテンツサイトを展開します。

※検索はページ右上の検索ボックスをご利用ください。

もっと便利に！jQueryでラクラクサイト制作（実践サンプル付き）: 本連載では，実践サンプルとともに，jQueryを上手に活用してサイト制作の品質向上・効率化を実現するための実践テクニックを解説します。
サクセスストーリーに続く，快適サーバー運用管理のヒント！: サーバーを自社で運用管理するのはもう限界…。データの増大，煩雑な管理，システムダウン，セキュリティなど，迫りくる課題からシステム管理者の負担を軽くするポイントを解説します。
続・先取り！ Google Chrome Extensions: 2010年1月のリリースが予定されているGoogle Chrome 4に搭載されるExtensionsについて，その詳細を先取りで解説します。最新情報から，ユーザースクリプトやテーマの作り方など関連情報もお届けします。
モダンPerlの世界へようこそ: この連載では，Perlの世代間ギャップに悩んでいる方に，いくらかの背景知識と，これだけは知っておいたほうがよいという最低限の慣用句をお届けします。
Hosting Department：ホスティングを活用するための基礎知識: 本連載では，ホスティングサービスを活用する上で知っておきたい基礎知識を解説します。
Blogopolisから学ぶ計算幾何: 計算幾何学は，図形に関するアルゴリズムを研究するコンピュータサイエンスの一分野です。本連載では，ビジュアルブログ検索エンジン「Blogopolis」で採用されている計算幾何のアプローチを例に取り上げながら，計算幾何の初歩を実践的に学習します。
Windows phoneアプリケーション開発入門: Windows Marcketplace for Mobileがサービス開始され，作成したアプリケーションを個人でも世界をターゲットに公開できる環境が整ってきました。これを機にWindows phoneアプリケーションの開発をしてみませんか？
いま，見ておきたいウェブサイト: この連載では，国内外の最新のウェブサイトを隔週更新で取り上げ，これら最新サイトの特徴や素晴らしい部分を，さまざまな角度から解説していきます。