セッション固定攻撃とは 任意のセッションIDを強制的に利用させる攻撃。 セッションハイジャックを成立させるための手段などで使われる。 対策 ログイン前からセッションが有効になっていて、ログイン後も同じセッションIDを利用している 場合にと言うケース…

SQLインジェクションとは SQLを改ざんした攻撃。 想像しただけで恐ろしいね。 対策 PDOのプリペアドステートメントを使う PDO以外でもmysqliの拡張のmysqli_prepare() 関数もある これやれば、エスケープ処理をしてくれるのであちこちでmysql_real_escape＿s…

クロスサイトフォージェリ（CSRF）とは ユーザーが意図しない操作をユーザー自身の権限を用いて実行させてしまう。 これだと意味わかんね。例えば、ユーザーがはてなブログにログインする。 で、はてなブログには記事の削除機能がある。これをユーザー自身に…

PHPのセキュリティの勉強をしている。 アホなので、書かないと覚えられないので書く。 スクリプト挿入攻撃とは 読んで時の如く、スクリプトを挿入して攻撃する。 掲示板などのサイトユーザーがデータを挿入するコンテンツで、HTMLの投稿を許可している場合に…

今、俺の中で最も旬なキーワードが「ナオト・インティライミ」だ。 彼のことや、音楽が好きとか嫌いとかそんなことは全く関係なくて 単語として「ナオト・インティライミ」が面白い。・ホップ、ステップ、ナオト・インティライミ ・ピーマンとナオト・インテ…

そういえば、前回の記事でphpのライブラリ関連でphp.iniを弄ってるのに全然値が反映されなくて地味にハマった時のメモ。Apacheちゃんとリロードしてるのになーって思ってて、じゃあphp.ini読んでないんじゃね？ と思いググったら出てきた。installしたphpはA…