セキュリティの入門として代表的なSQLインジェクションとXSSについてまとめる。
SQLインジェクションとは、web上でユーザーに入力してもらいフォームを送ってもらうシステムなどにおいて、そのフォームの中に悪意のあるプログラムを送ることでサーバー側を意図的にいじれてしまうものである。
基本的な対策方法として、入力されたものは完全な文字列と認識するようにプログラムでしてあげる必要がある。それをプレースホルダーという。
XSSとは、ユーザー側がサーバーが出力する内容を決められるサービスなどにおいて、その内容に悪質なプログラムを書くことによってサーバー側を意図的にいじれてしまうというものである。
基本的な対策法としてはプログラムとして認識するような<,>などといった文字を完全に文字列として認識するようにプログラムしてあげる必要がある。これをエスケープという。

関連記事