この、 SQLインジェクションの脅威 を、根本的に解決したい。 そのための、 「SQL文の雛形」と「実際の値」を、完全に分離 して扱う、現代PHPにおける、安全なデータベース操作の標準である**「プリペアドステートメント」**の使い方を理解したい。

SQLインジェクション対策は非常に簡単です。しかしブラウザに対する 「スクリプトインジェクション」 はなかなか無くなりません。スクリプトインジェクションが無くならない10の理由をあげてみます。 複雑な攻撃経路と対策 前回紹介したように ...

前回はスクリプトインジェクションがなくならない理由を紹介しました。それをふまえて今回はスクリプトインジェクションを防ぐ10のTipsを紹介します。 デフォルト文字エンコーディングを指定 php. iniには、 PHPが生成した出力の文字エンコーディングをHTTP ...

ペンタセキュリティシステムズは2月22日、Webアプリケーションの脆弱性および脆弱性を狙った攻撃をまとめた月例レポート「EDR-Report」の2016年1月版を公開した。 同レポートは、脆弱性の情報を収集するオープンソースのデータベースサービス「Exploit-DB」に ...

Windows版のPHPにコマンドインジェクションの脆弱性が含まれていることがわかった。 脆弱性情報のポータルサイトであるJVNによれば、「escapeshellarg」関数において、任意のOSコマンドが実行されるおそれがある脆弱性「CVE-2015-4642」が含まれていることが判明し ...

正式名称は「PHP:Hypertext Preprocessor」。サーバサイド埋め込み型スクリプト言語で、シンプルな文法、データベースとの親和性、高いパフォーマンスで人気がある。 JPCERT/CCは複数のプログラミング言語や実行環境で、Windows環境におけるコマンド実行処理での ...

JVNによると、Windows版PHPにはescapeshellarg関数の処理に起因するOSコマンドインジェクションの脆弱性が存在。細工されたパラメータをescapeshellarg関数に処理させることで、任意のOSコマンドを実行させられる可能性があるという。 IPAらは、開発者が提供する情報をもとに、パッチを適用するよう ...