各種攻撃対策

XSS（クロスサイトスクリプティング）・セッションハイジャック対策

クッキーの利用できない携帯端末以外は、URLやPOSTリクエストににセッションIDを含めることはせず、ユーザーによる外部リンクを許可する場合は、中間ページを経由して、リファラーが外部に漏れないようにする。

SQLインジェクション対策

SQLに変数（特にリクエストパラメータ）を含めるときは、プレースフォルダを利用するなどしてサニタイズする。

NULLバイトアタック対策

ユーザーからの入力データのバリデーションの際に、事前のフィルタリングで全変数デフォルトでヌルバイトを削除する。

ディレクトリトラバーサル対策

URLパラメータによる指定などでローカルファイルを開く場合は'/'を排除し、任意のディレクトリ・ファイルを開けないようにする。

HTTPレスポンススプリッティング（HTTP Response Splitting）対策

リダイレクト用Locationヘッダなど、スクリプト側で動的にHTTP Response Headerを生成する場合には不要なCRおよびLFを除去する。

URLパラメータ・POSTリクエストデータ改竄による不正操作対策

重要な入力パラメータはホワイトリスト法でフィルタリングし、任意の値を入力して不正操作できないようにする。

セッションフィキシゼーション（Session Fixation）対策

管理権限でのログイン時に、その時点のセッションIDを無効にして新しいセッションIDを生成する。

セッションポイズニング（Session Poisoning）対策

特に共用サーバーを利用するときは、セッションセーブパスのデフォルト設定を変更し、セッションポイズニングや、セッションデータの破壊を防ぐ。データベースが利用できる場合は、セッションをデータベースに保存する。

不正ファイルアップロード攻撃（File Upload Attack）対策

アップロードファイルは、画像以外はドキュメントルート外に保存するようにし、ブラウザから直接実行できないようにする。また、画像アップロード時は必ずGDに通し正規の画像として変換し、不正スクリプトを排除する。

OSコマンドインジェクション（OS Command Injection）対策

OSコマンドを実行する関数に渡すパラメータは十分テストした上で固定とし、外部から来る変数を含めるようなことはしない。

クロスサイトリクエストフォージェリ（Cross Site Request Forgeries）対策

セッションをきめ細かく管理し、必要に応じワンタイムトークンなどを利用するなどして外部からの不正アクセスを遮断する。

スクリプトインサージョン対策

セキュリティ上重要な各種入力データはホワイトリスト法でフィルタリングする。パラメータの値を含めた名のファイルを直接インクルードするようなことをしない。

ページTOPへ戻る