- ベストアンサー
セキュリティを強固にするには?
PHPでサイトを構築しようと思います。 が、セキュリティに関して知識がありませんのでどういったコーディングをすれば 良いのかかなり悩んでいます。 個人情報、セッション、数量・金額などの項目がある事を前提とした場合に どんな対策を施せば良いのでしょうか? SSL以外で。 特にクラッキングに対する防衛策としてはどんなものが挙げられるのでしょうか? 宜しくお願い致します。
- めとろいと(@naktak)
- お礼率66% (482/721)
- PHP
- 回答数3
- ありがとう数5
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
回答ではありませんが、「PHPサイバーテロの技法―攻撃と防御の実際」という本を読むと非常にわかりやすく解説してあります。 お勧めです。 http://www.amazon.co.jp/gp/product/4883374718/249-4923763-4742700?v=glance&n=465392
その他の回答 (2)
- taketan_mydns_jp
- ベストアンサー率58% (450/773)
ちょっと冷たい言い方ですが、自信が無いならやめた方が良いと思います。 個人情報や金額が絡む案件は、プロ中のプロが完璧だと思ってもクラックされたりするものです。 責任が取れる範囲でやるべきと思います。 と、それではあまりに冷たすぎるので(笑。 想定出来にくいセッションを使うのは有効と思います。 また、そのセッションは比較的短時間で破棄される設定にしておき、一度だけの利用で良いと思います。 また、セッションIDはURLに表示されない方法が良いと思います( Cookie利用 )。 また、CookieはセッションIDの保存のみとするのが良いと思います。 個人情報の保護は厳しく法律で保護されているので、入力(取得)は最小限というのがいいと思います。属性も住所も名前も、という事になると狙われやすいです。 データベースを利用する場合は、名前やユーザーID等は出来るだけ別テーブル、あるいは別DBで保存し、一般データは内部IDのみにしておけばクラックされたときに被害を最小限に食い止めるという事も大事です。 価格comがSQLインジェクションでダウンした事がありますが、そのような基礎的なセキュリティホールはよく知った上でプログラミングする必要があります。 クラックはされるもの、としてクラックされたときの想定を考えるのも危機管理上重要かと。
お礼
ありがとうございます。 セッション、テーブルの構造は基本的な事ですし、 コーディングする時点としてはそう注意する部分は無いのですね。 基本的な事を実現した上で、予防ではなく防止に頭の比重を切り替えた方が良いのですね。 セキュリティに特化した書籍についても今後見てみようかと思います。
- papillon68
- ベストアンサー率61% (42/68)
naktakさん、こんにちは。 書籍などを参考にされてはいかがでしょうか。 Webアプリのセキュリティに関する書籍がいくつかあります。 http://www.amazon.co.jp/gp/product/4873112869/503-1228395-4791123 http://www.amazon.co.jp/gp/product/4883374718/503-1228395-4791123?v=glance&n=465392 http://www.amazon.co.jp/gp/product/4873112567/503-1228395-4791123?v=glance&n=465392 http://item.rakuten.co.jp/book/1685172/ http://item.rakuten.co.jp/book/3971112/ ▲ この書籍の目次 「CHAPTER:4 固有の名称を持つWebサイトの攻撃手法」 にいくつかの攻撃手法が紹介されています。 その名称をググッてみてはいかがでしょうか。 詳しい情報が得られると思います。
お礼
セキュリティに特化した書籍があるとは、知りませんでした・・・。 参考にさせて頂きます。 ありがとうございました。
お礼
PHP限定ですか!! とても分かり易く読めそうです^^ ありがとうございました。