セキュリティの高い PHP Web サイトを作成するためのいくつかの実践的なポイント

PHP が現在最も人気のある Web アプリケーション プログラミング言語であることは誰もが知っています。しかし、他のスクリプト言語と同様に、PHP にもいくつかの危険なセキュリティ ホールがあります。したがって、このチュートリアルでは、一般的な PHP セキュリティ問題を回避するのに役立ついくつかの実践的なヒントを見ていきます。

ヒント 1: 適切なエラー報告を使用する

通常、開発プロセス中、多くのプログラマーは常にプログラム エラー レポートを作成することを忘れます。適切なエラー レポートは最良のデバッグ ツールであるだけでなく、問題を特定するための優れたセキュリティ脆弱性検出ツールでもあるためです。アプリケーションをオンラインにする前に、できる限り多くのことに遭遇するでしょう。

もちろん、エラー報告を有効にする方法はたくさんあります。たとえば、php.in 構成ファイルで、実行時に有効になるように設定できます

エラーレポートを開始

リーリー

エラー報告を無効にする

リーリー

ヒント 2: PHP の Weak 属性を使用しないでください

OFF に設定する必要がある PHP プロパティがいくつかあります。通常、これらは PHP4 に存在しますが、PHP5 では使用は推奨されません。特に PHP6 では、これらの属性が削除されました。

グローバル変数を登録する

register_globals が ON に設定されている場合、Environment、GET、POST、COOKIE または Server 変数がグローバル変数として定義されている設定と同等です。現時点では、フォーム変数「username」を取得するために $_POST['username'] を記述する必要はありません。この変数を取得するには、「$username」だけが必要です。

ということは、 register_globals を ON に設定するとこんなに便利なメリットがあるのだから、使わない手はないのではないかと考えているのではないでしょうか？これを行うと多くのセキュリティ上の問題が発生し、ローカル変数名と競合する可能性があるためです。

たとえば、次のコードを見てください:

リーリー

実行時に register_globals が ON に設定されている場合、ユーザーはクエリ文字列で access=1 を渡すだけで、PHP スクリプトが実行するものを取得できます。

.htaccessのグローバル変数を無効にする

リーリー

php.iniのグローバル変数を無効にする

リーリー

magic_quotes_gpc、magic_quotes_runtime、magic_quotes_sybase などの Magic Quotes を無効にする

.htaccessファイルに設定します

リーリー

php.iniで設定します

リーリー

ヒント 3: ユーザー入力を検証する

もちろん、ユーザー入力を検証することもできます。まず、ユーザーが入力すると予想されるデータ型を知る必要があります。このようにして、ユーザーによる悪意のある攻撃をブラウザ側で防ぐことができます。

ヒント 4: ユーザーによるクロスサイト スクリプティング攻撃を回避する

Web アプリケーションでは、フォームへのユーザー入力を単純に受け入れ、結果をフィードバックします。ユーザー入力を受け入れる場合、HTML 形式の入力を許可すると、JavaScript が予期しない方法で侵入して直接実行される可能性があるため、非常に危険です。このような脆弱性が 1 つでもあると、Cookie データが盗まれ、ユーザーのアカウントが盗まれる可能性があります。

ヒント 5: SQL インジェクション攻撃を防ぐ

PHPは基本的にデータベースを保護するツールを提供していないため、データベースに接続する際には、次のmysqli_real_escape_string関数を使用できます。

リーリー

さて、この短い記事では、開発プロセス中に無視できないいくつかの PHP セキュリティ問題について詳しく説明します。ただし、それを使用するかどうか、および使用方法を決定するのは最終的に開発者次第です。この記事があなたのお役に立てば幸いです。

上記では、セキュリティの高い PHP Web サイトを作成するためのいくつかの実践的なポイントを、関連するコンテンツも含めて紹介しています。PHP チュートリアルに興味のある友人に役立つことを願っています。