§セキュリティについて

当サイトはPHPを学習したいがどこから手を付けて良いかわからないという方のために製作しました。
ダウンロード可能なサンプルにつきましても学習を目的としたものであり、そのまま運用するにはあまりにもセキュリティ面で脆弱といわざるを得ません。

守っていただきたい最低限の対処法

特に書き込み可能な状態のテキストファイル(CSVなど)を扱う場合には以下の事にご注意ください。

1.htmlspecialcharsでサニタイズ(無害化)

クエリやフォームからの送信データを受け取とるときはhtmlspecialchars関数を通過させタグを無効化させてください。
これにより、有害なタグを書きこまれる危険は大幅に減少します。

2.「.htaccess」でアクセス制限
テキストファイル(CSVなど)でデータを管理する場合、当然のことながら直接テキストファイルのURIを指定することでブラウザから丸見えになったり、最悪の場合ファイルの書き換えといった攻撃を受ける可能性があります。
「.htaccess」を以下のように設定しデータファイルと同じ、もしくは上位のディレクトリにアップロードしてください。

これにより「.dat」「.log」「.csv」「.txt」の拡張子を持つファイルへの不正アクセスを予防することが出来ます。
[ 参考 ].htaccess活用法

以上の2点は最低限守るべきことで、これで十分というわけでは決してありません。
また、これらの方法をとることでプログラムの自由度が制限されることもあります。

PHPプログラミングにおけるセキュリティについて詳しく学ばれたい方は下記の書籍をご一読されることをおすすめします。

PHPサイバーテロの技法―攻撃と防御の実際 GIJOE ソシム 2005-11 売り上げランキング : 3539 おすすめ平均 Amazonで詳しく見る by G-Tools