社内勉強会 – PHPによるwebアプリケーションのセキュリティ入門

しばらく中断していた社内勉強会を復活させた。お題は前からやろうやろうと思っていたセキュリティ関係。資料とデモができあがったのが開始1分前という綱渡りでの開幕になったが、なんとかなるのが社内勉強会のいいところ。

例によって崩れているがSlideShare。資料と攻撃に使った書き込みは固めてダウンロードできるようにしておいた。

「20090218_post.zip」をダウンロード

デモに使ったスクリプトは、教科書として使用した「PHPサイバーテロの技法―攻撃と防御の実際」のサンプルを利用させていただいた。

まだまだセキュリティについては勉強不足だし、チームの意識も十分とは言えない。今後も情報収集と啓蒙に努めていこうと思う。

Amazon.co.jp: PHPサイバーテロの技法―攻撃と防御の実際: GIJOE: 本
http://www.amazon.co.jp/exec/obidos/ASIN/4883374718/bottomline02-22

PHPサイバーテロの技法 – 読者サポート・正誤表
http://www.peak.ne.jp/support/phpcyber/

開発者のための正しいCSRF対策
http://www.jumperz.net/texts/csrf.htm

はてなダイアリーXSS対策 – はてなダイアリーのヘルプ
http://hatenadiary.g.hatena.ne.jp/keyword/%e3%81%af%e3%81%a6%e3%81%aa%e3%83%80%e3%82%a4%e3%82%a2%e3%83%aa%e3%83%bcXSS%e5%af%be%e7%ad%96

徳丸浩の日記 ? そろそろSQLエスケープに関して一言いっとくか ? SQLのエスケープ再考
http://www.tokumaru.org/d/20080601.html#p01


1 comment

  1. kwappa 2月 19, 2009 11:44 pm  返信

    はてブでid:ockeghemよりコメントいただきました!ありがとうございます!
    MySQLは日常的に使っていないので「相場」を知りませんでした。
    スライド28ページ目:
    ×:mysql_escape_string
    ○:mysql_real_escape_string
    http://dev.mysql.com/doc/refman/4.1/ja/mysql-escape-string.html
    http://jp2.php.net/manual/ja/function.mysql-escape-string.php
    非推奨の関数はバージョンアップで消えてしまったりとかのリスクもあるので、よっぽど明確な理由がない限り使うべきではありません。

Leave a comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください