エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント18件
- 注目コメント
- 新着コメント
prograti
おかしな部分が所々あるのですが、取り敢えずXSS対策でhtmlspecialchars関数にENT_QUOTESフラグが指定されていないのと、CSRF対策でトークンを!=で比較しているのはダメではないかと/ 修正されてました。ありがとうございます。
t-murachi
「危険な変数」という言い方は本質を見失いそうな気がする。「汚染された値」という考え方が古典的ではあるけど、重要なのは何に使うかで、値の出処を気にせずに済む方法が正しい作法として定着すべきと思う。
circled
Laravel使うと、この辺全部デフォで対策済みだったりするのだが、、、久しく見ないコードを見てしまった。
north_korea
CSRF対策としては、トークンを使わないプリフライトリクエストの検証というやり方もある(formの同期通信には使えないけど) https://qiita.com/okamoai/items/044c03680766f0609d41
prograti
おかしな部分が所々あるのですが、取り敢えずXSS対策でhtmlspecialchars関数にENT_QUOTESフラグが指定されていないのと、CSRF対策でトークンを!=で比較しているのはダメではないかと/ 修正されてました。ありがとうございます。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
駆け出しエンジニアの皆さんに知ってほしい脆弱性のこと。
セキュリティは難しいです。 ですが、プログラミング初学者の皆さんは必要以上に萎縮せず、どんどんアプ...
セキュリティは難しいです。 ですが、プログラミング初学者の皆さんは必要以上に萎縮せず、どんどんアプリケーションを作り、公開することにチャレンジして欲しいと私は思っています。 一方、事実として、脆弱なアプリケーションが公開されている︵サーバ上でアクセス可能な状態になっている︶だけで、全く無関係な第三者が被害を被る可能性があることは知っておく必要があります。 それはWordPressを使った単なるWebサイトであったとしても同じです。 また、あなたのアプリケーションが破壊されて困らないものであったり、 個人情報を保持していないものであったとしても、です。 だから、知らなかった、では済まされないこともあります。 この記事では、PHPのソースを例に、 特にプログラミング初学者が生み出しやすいアプリケーションの脆弱性について、 具体的なコードを挙げながら解説します。 なお、本記事のサンプルコードはも
2020/09/27 リンク