megane_bomb https://blog.hatena.ne.jp/megane_bomb/ メガネ女子(21)のメモブログ https://megane-bomb.hatenadiary.org/ memo PHP ■CSRF脆弱性対策ワンタイムトークンを使用した対策 画面１でトークンを作成して、セッションに書き込む ↓ 画面２に遷移するときに、POSTなどで値をもって行く そのときに、セッション内の値をPOSTの持っている値を比較して、一致すれば正しいと言える ※同時に２画面をあける場合などもあるので、トークンは配列としてセッション登録する。 →in arrayを使用して、一致するかしないかすぐわかる ■XSS(クロスサイトスクリプティング)対策 出力時に 「htmlspecialchars()」 で必ずエスケープしないといけない。サニタイズとは？ 入力値をDBなどに登録する前にエスケープしたりして無毒… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fmegane-bomb.hatenadiary.org%2Fentry%2F20100610%2F1276217555" title="CSRF・XSS脆弱性対策 - メガネ女子(21)のメモブログ" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2010-06-10 09:52:35 rich https://megane-bomb.hatenadiary.org/entry/20100610/1276217555 1.0 100%