PHP セキュリティ - データの追跡

追跡データ

セキュリティを意識する開発者として、最も重要なことの 1 つは、データを常に追跡することです。それが何であり、どこにあるのかを知るだけでなく、それがどこから来て、どこへ行くのかも知っています。特に Web の仕組みを深く理解していない場合、これを行うのが難しい場合があります。一部の開発者は、他の開発環境での経験はあっても、Web での経験が浅い場合にしばしば間違いを犯し、セキュリティ上の脆弱性を生み出すのはこのためです。

ほとんどの人がメールを読むとき、通常、「Re: こんにちは」やその他のスパムメールは、返信のように見える件名が偽造できることを知っているためです。したがって、このメールは、件名が「こんにちは」である前のメールへの返信であるとは限りません。つまり、人々は、あまりにも多くのスパムメールを付けてはいけないことを知っています。このトピックは多くの人に信頼されていますが、送信者のアドレスも偽装できることに気づいている人はほとんどおらず、電子メールの送信元を確実に示すことができると誤解しています。 Web もこれとよく似ています。私が皆さんに教えたいことの 1 つは、信頼できるデータと信頼できないデータを区別する方法です。これを行うのは簡単ではないことが多く、盲目的な推測では解決策は得られません。

PHP は、$_GET、$_POST、 および $_COOKIE は、ユーザー データのソースを明確に示します。厳密な命名システムを使用すると、プログラム コードのどの部分でもすべてのデータのソースを確実に知ることができます。これは、私が常に実証し、強調してきたことです。

データがプログラムに入る場所を知ることは非常に重要ですが、データがプログラムから出る場所を知ることも重要です。たとえば、echo コマンドを使用すると、クライアントにデータが送信され、mysql_query を使用すると、MySQL データベースにデータが送信されます (ただし、目的はデータの取得である可能性があります)。

PHP コードのセキュリティ脆弱性を監査するときは、主に外部システムと対話するコードの部分をチェックします。コードのこの部分にはセキュリティ上の脆弱性が含まれている可能性があるため、開発時およびコード検査時には特別な注意を払う必要があります。

上記は PHP セキュリティ追跡データの内容です。さらに関連する内容については、PHP 中国語 Web サイト (m.sbmmt.com) に注目してください。