今出てるPHPセキュリティ本の中で一番だと思った。以下勉強になったところとメモ。

• 文字コードとXSS。(文字コード明示)
• 不正にエンコードされた文字の処理。(mbstring.subtitute_character)
• P.51-53を再考。
• ファイル名の改ざん時にNULL文字。
• セッションデータの流出及び書き換え(やばい(対策はDBにセッションデータを格納（あとはディレクトリのパスを細工)
• セーフモードとcgiwrap
• パーミッションと所有者

レンタルサーバの恐ろしさを改めて知りました。セーフモードとcgiwrapうぜええ、と思っていたら(以下略。。
レンタルサーバでのモジュール版PHPはきけんがいっぱい。