私は多くの研究を行い、検索は長くなり、幸せな答えを見つけることができません。SQLインジェクション以外のものはありますか?
私は自分のphp mvc Webフレームワークを作成しました。私は心配する必要がある唯一の脆弱性であるSQL Injectionが心配です。
私は独自のデータベース抽象化メソッドを使用し、異なるデータベースをサポートしています。私のステートメントはSQLインジェクションプルーフです。ですから、私の質問は簡単です。私のデータベースを保護することに関して、私が心配する必要があるものは何ですか?
もしあれば、詳細や記事を提供してください。私はさらに詳しい情報を得ることができます。可能であれば解決策もあります。
ありがとうございます。イブラヒム
tehreですか?
SQLインジェクションから身を守るだけでなく、明示的にデータの長さを制限していますか?
データベースにデータを挿入できる回数を制限していますか?
注入SQLのほかに、あなたはJavaScriptの注入から保護されますか?データベースに<script>malicious code</script>を保存すると、誰かがブラウザからテキストを閲覧したときにコードが実行されないことを確認してください。
あなたがusintであれば、素早くグーグルサーチしてください。 Web設定を変更することで、ほとんどの攻撃を防ぐことができます。
<authentication mode="Forms">
<forms protection="All" loginUrl="~/Account/Login.aspx" timeout="30" slidingExpiration="true" />
</authentication>
他にも、あなたが心配する必要があるいくつかのことがあります。例えば、入力に<script>alert('boo');</script>を渡す人などです。データベース値を出力するときには、顧客にセキュリティ上の脅威がかかる可能性があります。 (「ブー」)がより悪いものであると仮定すると。
包括的なリストは、あなたがアップロードを許可する場合は、アップロードされたファイルのサイズ、または量を制限しないここhttps://www.owasp.org/index.php/Main_Page
このフレームワークでは、私はPHPを使用しています – Ibu
ちょうどここにリストを見て、SQLインジェクションよりも心配することはもっとたくさんあります:
https://www.owasp.org/index.php/Category:Vulnerability
より一般的なもののいくつかは、次のとおりです。
リストは延々と続くが、取る脆弱性PHPのセキュリティ文書のユーザーノートを見てください。そこにはかなり良いコメントがあります:
Datawiseは、すべての着信データとエンティティ/特別な発信データをエスケープします。簡単な哲学で、一度データを入力してから一度データを操作するだけです。
セッションハイジャック、クッキー編集ハック、フォーム改ざん(セレクトフォームや隠しフォームの直接値を使用しないで、配列内の要素に対応する整数などのキーを割り当て、そのキーを使用して値を取得する)
悪質なHTMLを保証しながら、生き残るためにはHTMLをそのまま出力する* no * HTMLを出力します。リッチテキストエディタをテキストフィールドに使用すると、ユーザーは表示されているHTMLタグに盛り込まれることに満足できなくなります。 Methinksでは、HTMLエスケープの対象をもっと具体的にする必要があります。 – cHao
[XSS](http://en.wikipedia.org/wiki/Cross-site_scripting)について教えてください。 [XSRF](http://ja.wikipedia.org/wiki/Cross-site_request_forgery)? – drudge
どのようにそれが注射の証明だと確信していますか?あなたはパラメータ化を使用していますか? –
アプリケーションに必要な権限以上の権限を持たないユーザーのみ、データベースにアクセスしてください。 –