なぜPHPアプリにセキュリティホールが多いのか?
第13回 最後のPHP4 ── PHP4.4.9リリース
PHP4の最後のリリースとなるPHP 4.
- 特集:残り一年! PHP4からPHP5への移行
(2007年8月)
現在ではオンラインマニュアルの移行ガイドもかなり充実しています。
ビジネスユーザの場合,
PHP4をより安全に利用するTIPS
データベースクエリ用の文字列エスケープには専用関数を利用する
PHP4用のアプリケーションは古い物も多いので,
MySQLを利用する場合, SET NAMESを利用しない
PHP4のMySQLはmysql_
PostgreSQLを利用する場合, クライアント文字エンコーディングを変更しない
PHP4のPostgreSQLモジュールのpg_
入力文字のエンコーディングをmb_ check_ encoding関数で検証する
auto_
バンドル版のlibgdを利用しない
バンドル版のlibgdは脆弱性を含む古いコードが含まれています。PHPをソースからビルドしている場合,
セッション管理にクッキーのみを利用する
PHP4のsession.
セッションモジュールにパッチを当てる
PHPのセッションモジュールはセッションアダプション
筆者のWikiにPHP5用のパッチ
- ※1
- Stefan Esser氏がPHP5.
1用に書いたパッチに筆者がSQLiteサポートを追加し, PHP5. 2.6対応したパッチ
商用サポートを利用する
SRA OSS Incでは商用のPHP4延長サポートサービスを提供しています。
このサービスを利用するとPHP5で発見された新しい脆弱性がPHP4にも影響する場合,
ビジネスユーザはPHP5に移行するならPHP6とも互換性が高いPHP 5.
この記事に関連する書籍
-
Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫?
本書は,Webサイトのセキュリティ確保のために必要な基礎知識と,安全なコードを書くために必要な基礎知識を解説しています。Webアプリケーションは比較的簡単に作成で...
-
はじめてのPHP言語プログラミング入門
Webアプリケーション構築ツールとしてPHPを取り上げた書籍は数多くありますが,言語の解説・入門書としての書籍はあまりありません。 本書は,プログラミング言語として...
バックナンバー
なぜPHPアプリにセキュリティホールが多いのか?
- 第46回 セキュリティ対策を考える上で欠かせないコンテクスト
- 第45回 入力バリデーションはセキュリティ対策
- 第44回 セキュリティ対策が確実に実施されない2つの理由
- 第43回 PHP 5.3のcrypt関数の問題
- 第42回 PostgreSQL 9.0に見るSQLインジェクション対策
- 第41回 PHP 5.3.4におけるセキュリティ上重要な仕様変更
- 第40回 MOPS:安全性の高いパスワードハッシュ作成ツール - phpass
- 第39回 MOPS:静的PHPソースコード脆弱性スキャナ RIPS
- 第38回 MOPS:PHPにおけるコード実行(2)
- 第37回 MOPS:PHPにおけるコード実行(1)