SQL インジェクション
SQL にとって危険な文字をエスケープする必要がある。
プログラム内で防ぐ。
PHPには関数「mysql_real_escape_string() 」などがある。
→mysql_query() で安全に 利用できる形式に変換します。(先頭にバックスラッシュを付加)
\x00, \n, \r, \, ‘, ” そして \x1a.
設定ファイルphp.iniで防ぐ場合
・php-error.log ファイルを作成
[PHP]
cgi.fix_pathinfo=1
register_globals = Off ;;
file_uploads = On ;;(推奨)ファイルのアップロード機能を使うとき必要
magic_quotes_gpc = Off
display_errors=”0″
error_reporting=”2047″
log_errors=”1″
error_log=”/home/HOME/php-error.log”
php-error.log ファイルを先に作っておく(アクセス権を適切に設定)
phpセキュリティ