• はてなブックマーク
  • テクノロジー
  • ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション 〜 ただし出力対策も必須です 〜
  • Twitterでシェア
  • Facebookでシェア

ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション 〜 ただし出力対策も必須です 〜

テクノロジー カテゴリーの変更を依頼 記事元:blog.ohgaki.net
適切な情報に変更
473 usersがブックマーク コメント78

    記事へのコメント78

    • 注目コメント
    • 新着コメント
    y-kawaz
    y-kawaz サニタイズ教による有害記事。インジェクション攻撃の対策は出力/利用時の適切なエスケープに尽きる。またその処理も自前ではなくDBならプレースホルダ等適切なフレームワークを利用すべし。

    2015/06/15 リンク

    その他
    Hamachiya2
    Hamachiya2 これ何の時に使うバリデーション?まさか「汎用です安全にお使い頂けます」?それなら入力制限きつい割に普通に脆弱性つくれるけど…

    2015/06/15 リンク

    その他
    miau
    miau 「0-Z」だと「:;<=>?@」が含まれそうだけど、なんでこれで通ってるんだっけ…?

    2015/06/15 リンク

    その他
    infobloga
    infobloga 炎上必至案件。PHP使っているなら、マジッククオートの歴史は無視できないし、それを知っていればこんなこと書けないと思うんだ。

    2015/06/15 リンク

    その他
    iww
    iww わざとおかしなことを書いて正解を集める手法。

    2015/06/16 リンク

    その他
    tyage
    tyage 0-Z

    2015/06/15 リンク

    その他
    cubed-l
    cubed-l だめな例として。だめな例として。大事なことなので2回言いました

    2015/06/16 リンク

    その他
    noonworks
    noonworks 昔、SQLインジェクションを防ぐため入力時に「'」を削除するという仕様のプログラムがあって、会社名「O'Reilly Japan」が検索できなかったことを思い出した。/入力自体をなくせばもっと安全!

    2015/06/15 リンク

    その他
    kirte
    kirte 1つでも漏れがあればそこが狙われるので、ほぼ全てと無しは大差ない / 「$sql = "SELECT ".$_GET['field_name']." FROM mytable";」こんなコードが出てくるような構造がそもそも危険

    2015/06/16 リンク

    その他
    usurausura
    usurausura この記事からもう9年も経つのか・・・http://kmaebashi.com/zakki/zakki0042.html

    2015/06/15 リンク

    その他
    oppara
    oppara ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション 〜 ただし出力対策も必須です 〜 | yohgaki's blog B!

    2015/07/01 リンク

    その他
    uasi
    uasi わざわざコメントしたのにスルーされた

    2015/06/27 リンク

    その他
    masapon49
    masapon49 覚えておこう

    2015/06/18 リンク

    その他
    pixmap
    pixmap これなら、電源ケーブルかネットワークケーブル引っこ抜いた方がより適切かつ安全。

    2015/06/18 リンク

    その他
    array08_12
    array08_12 最後に「使うな」的なこと書いてるしw

    2015/06/17 リンク

    その他
    patorash
    patorash コメントを書いている人の大多数がちゃんと内容を読んでもいないのが本当に腹がたつ。

    2015/06/17 リンク

    その他
    szks
    szks バインド機構について「識別子に使えない。すべての状況に適用できる方法論でなければダメだ」という氏の主張に従えば、任意のバイナリデータを処理できなければならないはず。文字を制限するとか論外。0点。

    2015/06/17 リンク

    その他
    aryuaryu
    aryuaryu 『このバリデーション関数ではこれらの出力先が特殊な意味を持つ文字をほぼ全てを無効な文字として拒否しています。このため、インジェクション攻撃はできません。文字エンコーディングもバリデーションしているので

    2015/06/17 リンク

    その他
    bouzuya
    bouzuya タイトルでニヤニヤしながら開いて PHP で確信した。

    2015/06/17 リンク

    その他
    katzchang
    katzchang いろいろ書いてあるけど、まとめで結局こんなの使えないからと書いてあったので、いい話だなと思いました。

    2015/06/17 リンク

    その他
    itochan
    itochan 10年以内に解答編の記事が出ま… >このバリデーション関数の残存リスクはエクササイズとして残しておきます。このバリデーション関数を使っていても攻撃できるケースを思いついた方はぜひコメントをお願いします。

    2015/06/17 リンク

    その他
    kazuph1986
    kazuph1986 この人が携わったサイトを攻撃するときの参照元になってしまうので、元・現クライアントの人が大変なのでは??ほぼってことは必ず攻撃手法があるということでしょ??

    2015/06/17 リンク

    その他
    motchang
    motchang おいおい 2015年にこんな記事ゆるされんのかよ…。これまでの徳丸せんせの啓蒙は何だったのか。

    2015/06/16 リンク

    その他
    Kenji_s
    Kenji_s このバリデーション関数の残存リスクについて誰か具体的に解説をお願いします

    2015/06/16 リンク

    その他
    deamu
    deamu 2015年に出てきたセキュリティ啓蒙の言説でシステム想定が、GETでの入力文字列をそのままSQLに文字列結合してる( д) ゚ ゚

    2015/06/16 リンク

    その他
    lalala360
    lalala360 うっかりGETをSQLに連結しても大丈夫なように、これを仕様に組み込めという話なのか。。。

    2015/06/16 リンク

    その他
    iww
    iww わざとおかしなことを書いて正解を集める手法。

    2015/06/16 リンク

    その他
    nekoruri
    nekoruri 皮肉というか思考実験だと思って読んでたらマジ記事で真顔になった。

    2015/06/16 リンク

    その他
    masayoshinym
    masayoshinym あぁこの人か感と、内容は読まなくていいや感と、やっぱ炎上してる感。

    2015/06/16 リンク

    その他
    k12u
    k12u こんな変なことしなくても入力をそのまま捨てれば無効化できるよ

    2015/06/16 リンク

    その他
    cubed-l
    cubed-l だめな例として。だめな例として。大事なことなので2回言いました

    2015/06/16 リンク

    その他
    itboy
    itboy 昔面倒を見たシステムに入力不可の文字列を作っておいたりしたんだけどああいうのって結構有効なんかな。ユーザーは少し不便にはなるけど。

    2015/06/16 リンク

    その他
    moritata
    moritata ブックマークしたら403になった。ちょっとびっくり。

    2015/06/16 リンク

    その他
    ko-ya-ma
    ko-ya-ma 炎上してる

    2015/06/16 リンク

    その他
    Arison
    Arison そんなバリデーションで大丈夫か? 大丈夫だ、問題ない。

    2015/06/16 リンク

    その他
    na-777
    na-777 はてブコメントを読む記事

    2015/06/16 リンク

    その他
    tokida
    tokida ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション - | 入力バリデーションはセキュリティ対策として最も重要なセキュリティ対策です。なぜセキュリティ対策であるのか?を理解していない方も見か

    2015/06/16 リンク

    その他
    Haaaa_N
    Haaaa_N そもそも日本語が怪しい、phpより日本語を勉強しては

    2015/06/16 リンク

    その他
    airj12
    airj12 悪意すら感じる / はまちちゃんさんのブコメが頼もしすぎる

    2015/06/16 リンク

    その他
    thesecret3
    thesecret3 記事はだめだろう。php界は良く知らんが、簡単にすぐにサイトが作れる仕組みなのに標準では安全でないなら破綻してるような。いくら注意しても初心者は湧いて出てきちゃうだろ。

    2015/06/16 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション 〜 ただし出力対策も必須です 〜

    (Last Updated On: 2019年2月18日)入力バリデーションはセキュリティ対策として最も重要なセキュリティ...

    ブックマークしたユーザー

    • techtech05212023/12/01 techtech0521
    • eichisanden2021/08/12 eichisanden
    • repon2021/01/26 repon
    • kjktk2016/11/24 kjktk
    • kadoppe2016/10/13 kadoppe
    • ottonove2016/07/14 ottonove
    • yanbow2016/05/20 yanbow
    • ihok2015/09/17 ihok
    • deeen2015/07/04 deeen
    • kwy2015/07/04 kwy
    • oppara2015/07/01 oppara
    • yuzuk452015/06/29 yuzuk45
    • uasi2015/06/27 uasi
    • silem2015/06/24 silem
    • uscoder2015/06/22 uscoder
    • purple2sky2015/06/20 purple2sky
    • lEDfm4UE2015/06/19 lEDfm4UE
    • smokyjp2015/06/19 smokyjp
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.