Matsuzawa Fumiaki, profile picture
Uploaded byMatsuzawa Fumiaki
870 views

セキュアPHP

Embed presentation

SECURE APPS For PHP Fumiaki Matsuzawa
入力バリデート対策 ユーザーID(数値)の受け取り ctype_digit(($_POST))等の 形式チェックを設けてからPHPで取得する。
SQLインジェクション対策 <バインド処理> プリペアドステートメントと静的プレース フォルダ (エミュレートではない)を使って、 確実にSQLインジェクションを防ぐ。 MySQLの場合は、 mysql_real_escape_string()でエスケープして からDBへ登録する。
クロスサイトスクリプティング 対策 • htmlentities(str,ENT_QUOTES, Content-Typeヘッダで定義した文字セット ); 日本語対応 output_handler = mb_output_handler mbstring.language = japanese mbstring.encoding_translation = On mbstring.internal_encoding = UTF-8 mbstring.http_input = auto mbstring.http_output = SJIS
CSRF対策 • トークンを利用して利用者がサブミットしたものだけ を受け付ける。 session_start(); $token = md5(uniqid(rand(),TRUE)); //トークンを設定 $_SESSION*‘token’+ = $token; //トークンの作成時間を設定(受信側で有効期間を設 定) $_SESSION*‘token_time’] = time(); ・・・ <form method=“post”> <input type=“hidden” name=“token” value=“<?echo $token; ?>”>
ファイルアップロード攻撃対策 • Php.iniのupload_max_filesize ファイルサイズ最大サイズを設定 • Php.iniのpost_max_size HTTPヘッダのサイズを設定
セッションハイジャック対策 • トークンやSSL、に加えて、セッション識別 子を使って回避します。 session_start(); If(!isset($_SESSION*‘token_initiated’+)) { session_regenerate_id(); $_SESSION*‘token_initiated’] = TRUE; }
セッションデータの流出防止 • session_set_handler()関数でセッションメカ ニズムを自分でDBに格納するように定義 する。 session_set_handler(‘_open’, ‘_close’, ‘_read’, ‘_write’, ‘_destroy’, ‘_clean’); セッションデータコンテナを開く、閉じる、 読み込む、書き出す、破棄する、古くなっ たセッションデータを一括削除する。
ファイルシステム閲覧対策 • ドキュメントルートに設定ファイルを格 納しない。 ・basename()などでパス情報をチェック する。 ・ファイルアクセスが不要なアプリケー ションの 場合はファイルアクセスする関数を禁止
PHPの暗号化 PHPで暗号化にはmcrypt関数を使うことで、 数種類の異なる暗号化アルゴリズムを利用で きる。 ※5.3以降は標準となっている。
共有ホスティング環境対策 共有ホスティング環境(Apache)では ・環境変数にデータベースアクセスIDを持 つ SetEnv DB_USER “app_user” SetEnv DB_PASS “app_pass” $db_user = $_SERVER*‘DB_USER’+; $db_pass = $_SERVER[‘DB_PASS’];
共有ホスティング環境対策 パスワードはハッシュ化したもので認証する。 $salt = ‘test’; $password_hash = md5($salt.md5($pass. $salt)); ⇒などでハッシュ化を行い、 DBに登録して、ハッシュ同士を比較する。
セキュリティに関する構成の point 構成ディレクティブの確認を行う。 allow_url_fopen 無効にする。 disable_functionsに無効化する関数を登録 exec()、passthru()、phpinfo()、popen()、 proc_open()、shell_exec()、system()など。 display_errorsを無効にする。 enable_dlを無効にする。 error_reportingにE_ALLを設定する。
セキュリティに関する構成の point file_uploadsがファイルのアップロード機能 が 不要な場合は無効にする。 log_errorsを有効にし、定期的にチェックす る。 magic_quotes_gpcを無効にする。【5.4で削 除】 memory_limitを8M程度に設定する。 open_basedirでPHPが開けるファイルを特定

More Related Content

PDF
Ahad nama
byMudaser Awan
 
PPTX
HEMATOLOGIA SEGURIDAD EN EL LABORATORIO Y RECOLECCION DE LA MUESTRA
byOBER ESTALIN MACAS SANCHEZ
 
DOCX
Tanggapan ghost fishing
byYoga Amanta
 
PPT
Sitra lähienergian palvelutarpeet - esimerkkitarkastelut 20110117
bySitra Maamerkit
 
DOCX
Laporan penelitian
byJoni Candra
 
DOCX
Laporan Pengorganisasian Perpustakaan
bySiska Perangin-angin
 
PDF
Azan ul quran by
byMuhammad Tariq
 
PPTX
Content Effectiveness Optimization - Ungagged 2016
byEric Enge
 
Ahad nama
byMudaser Awan
 
HEMATOLOGIA SEGURIDAD EN EL LABORATORIO Y RECOLECCION DE LA MUESTRA
byOBER ESTALIN MACAS SANCHEZ
 
Tanggapan ghost fishing
byYoga Amanta
 
Sitra lähienergian palvelutarpeet - esimerkkitarkastelut 20110117
bySitra Maamerkit
 
Laporan penelitian
byJoni Candra
 
Laporan Pengorganisasian Perpustakaan
bySiska Perangin-angin
 
Azan ul quran by
byMuhammad Tariq
 
Content Effectiveness Optimization - Ungagged 2016
byEric Enge
 

Similar to セキュアPHP

PPTX
安全なPHPアプリケーションの作り方2014
byHiroshi Tokumaru
 
PPT
20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」
byHiromu Shioya
 
PPTX
Wasbook読書会4章1,2節
byAtsushi Uchida
 
PDF
PHPでセキュリティを真面目に考える
byTakuya Sato
 
PDF
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011
byHiroshi Tokumaru
 
PDF
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
byHiroshi Tokumaru
 
PDF
PHPカンファレンス2014セキュリティ対談資料
byYasuo Ohgaki
 
PPTX
ウェブセキュリティの常識
byHiroshi Tokumaru
 
PPTX
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
byHiroshi Tokumaru
 
PPTX
ウェブアプリのセキュリティをちゃんと知ろう (毎週のハンズオン勉強会の資料)
byひとし あまの
 
PDF
ウェブアプリケーションセキュリティ超入門
byHiroshi Tokumaru
 
PPTX
徳丸本に載っていないWebアプリケーションセキュリティ
byHiroshi Tokumaru
 
PDF
『PHP逆引きレシピ』とセキュリティのこと
bykenjis
 
PDF
WebAPIではじめるphp入門
byHiroaki Murayama
 
ODP
第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)
byYuya Takeyama
 
PPTX
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
byHiroshi Tokumaru
 
PPTX
Pythonを使った簡易診断スクリプトの作り方
byYuichi Hattori
 
PPTX
Webシステム脆弱性LT資料
byTomohito Adachi
 
PPTX
安全なPHPアプリケーションの作り方2016
byHiroshi Tokumaru
 
PDF
最低限知っておきたい Webセキュリティーについて@MT関西
byMasayuki Abe
 
安全なPHPアプリケーションの作り方2014
byHiroshi Tokumaru
 
20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」
byHiromu Shioya
 
Wasbook読書会4章1,2節
byAtsushi Uchida
 
PHPでセキュリティを真面目に考える
byTakuya Sato
 
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011
byHiroshi Tokumaru
 
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
byHiroshi Tokumaru
 
PHPカンファレンス2014セキュリティ対談資料
byYasuo Ohgaki
 
ウェブセキュリティの常識
byHiroshi Tokumaru
 
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
byHiroshi Tokumaru
 
ウェブアプリのセキュリティをちゃんと知ろう (毎週のハンズオン勉強会の資料)
byひとし あまの
 
ウェブアプリケーションセキュリティ超入門
byHiroshi Tokumaru
 
徳丸本に載っていないWebアプリケーションセキュリティ
byHiroshi Tokumaru
 
『PHP逆引きレシピ』とセキュリティのこと
bykenjis
 
WebAPIではじめるphp入門
byHiroaki Murayama
 
第一回 社内勉強会 PHP Application Security Checklist に学ぶ PHP セキュリティ (Excerpt)
byYuya Takeyama
 
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
byHiroshi Tokumaru
 
Pythonを使った簡易診断スクリプトの作り方
byYuichi Hattori
 
Webシステム脆弱性LT資料
byTomohito Adachi
 
安全なPHPアプリケーションの作り方2016
byHiroshi Tokumaru
 
最低限知っておきたい Webセキュリティーについて@MT関西
byMasayuki Abe
 

セキュアPHP