自作メールフォームのセキュリティ対策の一部を簡単にご紹介

やはりメールフォームと言えば、同時にセキュリティの問題なんかも必要となってまきます。

全部が全部を紹介しようとするとすごい量になってしまうし、果てしないと思うので軽く一部だけ。

以前に自作メールフォームの作成方法という記事を書いたのですが

一切セキュリティには触れてませんでしたので。

・クリックジャッキング対策

<?php
// 他のサイトでインラインフレーム表示を禁止する（クリックジャッキング対策）
header('X-FRAME-OPTIONS: SAMEORIGIN');
?>

・SQLインジェクション

<?php
$sql = "SELECT * FROM users WHERE id= ? and password= ? ";
//プリペアードステートメント->実行したいSQLをコンパイルした一種のテンプレート
$sth = $dbh->prepare($sql);
//1つ目の?にバインド
$sth->bindParam(1, $user_id, PDO::PARAM_STR);
//2つ目の?にバインド
$sth->bindParam(2, $password, PDO::PARAM_INT);
//PDPStatement::excecute-> プリペアドステートメントを実行する
$sth->execute();
?>

・XSS(クロスサイトスクリプティング)

<?php
// HTML特殊文字をエスケープする関数
function h($str) {
    return htmlspecialchars($str,ENT_QUOTES,'UTF-8');
}
?>
<?php echo h($text); ?>

…と、比較的サクっと対策できるやつのみ掲載しておきました。

その他はいろいろと調べてみてください。

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践 [ 徳丸 浩 ] 楽天で購入

では現場から以上です！