他ホストからのPOSTを防ぐ方法

見返すと色々書き損じが・・　補足させてください。 > register_globals の危険性は変数汚染にあります。 提示した URL 内に具体例があります。引用すると <?php $file = '/base/path/to/image/files/'.$name; header('Content-Type: image/gif'); readfile($file); ?> という PHP スクリプトに対して register_globals が on である場合、次のような URI を入力する事で GET メソッドを利用して汚染をかける事が出来てしまいます。 http://example.com/image.php?name=abc $_POST['name'] のように明確な意図の元に POST メソッドから値を取得する方法と比べ、通常の変数と変わらない $name に勝手にアサインされてしまう事が register_globals の何よりの問題なのです。 > 私に聞くよりググって PHP で経験を積みセキュリティに関して知識を蓄えた方の発言やドキュメントを調べる事をお勧めします。 は以下に訂正します。 私がここであれこれと書くよりは google で検索するなどして、経験と知識を蓄えた方の発言やドキュメントを調べた方が有効だと思います。 特に register_globals に関しては多方面から危険性が指摘されて変更になったことがあり、その指摘と、またその変更についての論議が PHP-users などのコミュニティに残っていて参考になると思います。 他のホストからの POST を防ぐ方法ですが、まず目的が、、セキュアなアプリケーションを作るという目的なら前投稿のような基本的な話になります。 とにかく他ホストからの POST を蹴りたいというなら ・基本認証 ・ページ間ごとにランダムな ID を生成しそれをキーとして信頼性を持たせる 等方法はあると思います。完璧を期するなら基本認証のような仕組みを使って信頼できるエリアを作る方法が使えると思いますが、、 「信頼出来る POST メソッドを保証する」というのはあまり見かけない案件です。目的に対してもっと適切で楽な方法があるかもしれません。 セキュアなwebアプリケーションの設計に関して IPA のドキュメントも参考になると思いますので提示しておきます。