Security(セキュリティ)

PHP

PHP脆弱性対応:XSS(クロスサイトスクリプティング)

今週の主な作業はお問い合せフォームの脆弱性対策(セキュリティー対策)でした。

 

例えば、

入力フォームに「<script>alert("test");</script>」

とJavascriptのコードを打ち込まれると、

確認画面に移動した際にこのコードが実行されてしまいます。

 

いわゆる、

XSS(クロスサイトスクリプティング)スクリプトインサーションという現象で、

ユーザーが悪意のあるコードを入力すると、

確認画面でそのまま実行されてしまい、

重大な脆弱性に繋がってしまいます。

 

これは、

JavaScriptやHTMLなどの意味のある文字列をhtmlspecialchars()を使ってエンティティに変換することで防げます。

 

私の場合は、

/*
*説明:特殊文字をHTMLエンティティに変換する
* IN :$string HTMLエンティティの対象となる文字列
* OUT:HTMLエンティティ変換後の文字列
*/
function h($string){
  if(is_array($string)){
    return array_map("h", $string);
  }else{
    return htmlspecialchars($string, ENT_QUOTES);
  }
}

のような関数を作ってやり、

foreach($_POST as $key => $val){
  if(!empty($val)){
    $$key = (function_exists("h")) ? h($val) : @htmlspecialchars($val);
  }
}

という具合にして、

POSTされてきた入力値を確認画面で処理してやります。

 

まあ、

XSS(クロスサイトスクリプティング)に関してはこれでいいですかね。

 

フォームの脆弱性・セキュリティ対策は、

他にもたくさんあります。

 

それは、

また別の記事で書きます。

弊社では、以下の方に向けて、WordPressの短期学習プログラムを
格安(15,000円~)で提供しております。

  • 個人でWordPressを使ったサイト(個人ブログやアフィリエイトサイトなど)構築をお考えの方
  • WordPressを使って副業で稼ぎたい方
  • フリーランスでWordPressを使ったお仕事をお考えの方
  • 自社でホームページの構築・運用をお考えの方
  • 企業のWEB担当者の方

内容

基本的には、初心者の方を対象にした学習プログラムです。

※ WordPress制作の上級者の方の場合、弊社の学習プログラムはあまり役に立たないと考えています。

  • ・ WordPressのインストールからセッティングの方法
  • ・ WordPressのテーマ選びについて
  • ・ WordPressのプラグイン選びと設定方法について
  • ・ サーバの準備方法
  • ・ ドメインの取得・管理の方法
  • ・ FTPの設定方法
  • など

ご用意頂くもの

  • ・ ノートPC
    ※ 弊社はWindowsを業務で利用しておりますので、できればWindowsのPCをおすすめしています。
  • WordPressでサイトの制作を考えているが、何から始めればいいのか分からない。
  • ドメインやサーバはどうやって準備すればいいの?
  • そもそもホームページの公開には何が必要なの?

などなど、

どのような内容でも構いませんので、お気軽にお問い合わせ下さい。

お客様の目的をお聞きした上で、最適の学習プランを提案致します。

ご興味のある方は、以下の内容を記載の上、一度お問い合わせ下さい。
こちらより、折り返しメールを致します。

  • ① お名前
  • ② 折り返し先のメールアドレス
  • ③ 希望の学習内容

関連記事

  1. PHP(ピー・エイチ・ピー)

    PHP

    PHPでWarningエラーが!!

    PHPでこんなエラーが↓PHP Warning:  PHP Sta…

  2. PHP(ピー・エイチ・ピー)

    PHP

    【PHP】メモリ使用量を測定

    memory_get_usage:PHPのスクリプトに割り当て…

  3. PHP

    array_unique()関数で配列の重複データを削除

    重複したデータが配列の中に存在する場合、array_unique(…

  4. Security(セキュリティ)

    PHP

    お問合せフォームのスパム対策

    お問合せフォームからスパムメールが大量に届くという報告が入りました。…

  5. PHP

    PHPのタイムゾーン

    PHPでシステムを構築していたのですが、echo date("Y-…

  6. PHP(ピー・エイチ・ピー)

    PHP

    【PHP】implodeで配列を分解して任意の文字で結合する

    最近はPHPにもすっかり慣れてしまい、参考書を見ることもすっかり減…

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

最近の記事

  1. PHP(ピー・エイチ・ピー)
  2. SONY 広角レンズ「SEL1018」
  3. PHP(ピー・エイチ・ピー)
  4. 俺流塩ラーメン
  5. SEO(エスイーオー)
  6. Linux(リナックス)
  7. Linux(リナックス)
  8. PHP(ピー・エイチ・ピー)
  9. バージョンアップ
  10. Google Search(グーグル検索)
PAGE TOP