入門PHPセキュリティ
今出てるPHPセキュリティ本の中で一番だと思った。以下勉強になったところとメモ。
- 文字コードとXSS。(文字コード明示)
- 不正にエンコードされた文字の処理。(mbstring.subtitute_character)
- P.51-53を再考。
- ファイル名の改ざん時にNULL文字。
- セッションデータの流出及び書き換え(やばい(対策はDBにセッションデータを格納(あとはディレクトリのパスを細工)
- セーフモードとcgiwrap
- パーミッションと所有者
レンタルサーバの恐ろしさを改めて知りました。セーフモードとcgiwrapうぜええ、と思っていたら(以下略。。
レンタルサーバでのモジュール版PHPはきけんがいっぱい。