SQLインジェクションとは SQLを改ざんした攻撃。 想像しただけで恐ろしいね。 対策 PDOのプリペアドステートメントを使う PDO以外でもmysqliの拡張のmysqli_prepare() 関数もある これやれば、エスケープ処理をしてくれるのであちこちでmysql_real_escape＿s…

クロスサイトフォージェリ（CSRF）とは ユーザーが意図しない操作をユーザー自身の権限を用いて実行させてしまう。 これだと意味わかんね。例えば、ユーザーがはてなブログにログインする。 で、はてなブログには記事の削除機能がある。これをユーザー自身に…

PHPのセキュリティの勉強をしている。 アホなので、書かないと覚えられないので書く。 スクリプト挿入攻撃とは 読んで時の如く、スクリプトを挿入して攻撃する。 掲示板などのサイトユーザーがデータを挿入するコンテンツで、HTMLの投稿を許可している場合に…