PHPのセキュリティー
2005年8月29日
PHPでWebアプリケーションを組む上ではセキュリティーホールが作成されないように注意する必要があるが、そういったことに関してはこのページが参考になりそうである。注意しないといけない主な点は:
クロスサイトスクリプティング
NULL バイト攻撃
PHP の include(), require() 関連の問題
セッション変数、Cookie を使用する際の対策
ファイルアップロード処理
というところか。
他には、HTTPヘッダにApache/PHPのバージョンが表示される問題についても書かれてあった。それについては以下のように対策した。
クロスサイトスクリプティング
NULL バイト攻撃
PHP の include(), require() 関連の問題
セッション変数、Cookie を使用する際の対策
ファイルアップロード処理
というところか。
他には、HTTPヘッダにApache/PHPのバージョンが表示される問題についても書かれてあった。それについては以下のように対策した。
# vi /etc/apache2/apache2.conf
(以下の設定を追加)
ServerTokens Prod
ServerSignature Off
# vi /etc/php4/apache2/php.ini
(以下の設定を変更)
expose_php = Off
なお、Apache のバージョンはコンソールから『apache2 -v』で、PHPとMySQLのバージョンはphpMyAdminから確認できる。
(以下の設定を追加)
ServerTokens Prod
ServerSignature Off
# vi /etc/php4/apache2/php.ini
(以下の設定を変更)
expose_php = Off
なお、Apache のバージョンはコンソールから『apache2 -v』で、PHPとMySQLのバージョンはphpMyAdminから確認できる。