2020/05/25 14:44
自作メールフォームのセキュリティ対策の一部を簡単にご紹介
やはりメールフォームと言えば、同時にセキュリティの問題なんかも必要となってまきます。
全部が全部を紹介しようとするとすごい量になってしまうし、果てしないと思うので軽く一部だけ。
以前に自作メールフォームの作成方法という記事を書いたのですが
一切セキュリティには触れてませんでしたので。
・クリックジャッキング対策
<?php
// 他のサイトでインラインフレーム表示を禁止する(クリックジャッキング対策)
header('X-FRAME-OPTIONS: SAMEORIGIN');
?>
・SQLインジェクション
<?php
$sql = "SELECT * FROM users WHERE id= ? and password= ? ";
//プリペアードステートメント->実行したいSQLをコンパイルした一種のテンプレート
$sth = $dbh->prepare($sql);
//1つ目の?にバインド
$sth->bindParam(1, $user_id, PDO::PARAM_STR);
//2つ目の?にバインド
$sth->bindParam(2, $password, PDO::PARAM_INT);
//PDPStatement::excecute-> プリペアドステートメントを実行する
$sth->execute();
?>
・XSS(クロスサイトスクリプティング)
<?php
// HTML特殊文字をエスケープする関数
function h($str) {
return htmlspecialchars($str,ENT_QUOTES,'UTF-8');
}
?>
<?php echo h($text); ?>
…と、比較的サクっと対策できるやつのみ掲載しておきました。
その他はいろいろと調べてみてください。
|
では現場から以上です!
806