PHPでコードインジェクション攻撃を防ぐ方法は？

この簡単なチェックリストについて考えました。

• 常にHTTPSを使用します。HTTPSを使用しない場合、サイトは完全に暗号化されません。いいえ、クライアント側の暗号化と送信は機能しません。考えてみてください。 無効なHTTPS証明書は、 [〜＃〜] mitm [〜＃〜] attackに対して脆弱になります。証明書を購入する余裕がない場合は、Let's Encryptを使用してください。
• PHPコードからの出力、つまりユーザー入力が含まれている、またはユーザー入力が含まれている場合は、常に htmlspecialchars() を使用するほとんどのテンプレートエンジンは、これを簡単に行うのに役立ちます。
• _php.ini_でHTTP専用フラグを使用して、スクリプトがCookieにアクセスしないようにします
• セッション関連の問題を防止する
  • ユーザーのPHPSESSID（セッションID）をcookieの外部に決して公開しないでください。誰かが他の誰かのセッションIDを知るようになれば、簡単にできます。アカウントにログインするために使用します
  • _Remember me_関数には細心の注意を払い、多分少し警告を表示します。
  • ユーザーがサインインするときにセッションIDを更新します（または適切な場合）
  • 非アクティブなセッションのタイムアウト
• NeverCookieを信頼しない。スクリプト/ユーザーがいつでも変更、削除、変更、作成できます。
• SQL関連の問題を防ぐ
  • 常に準備されたステートメントを使用します。準備されたステートメントにより、ユーザー入力が個別に渡され、 SQLインジェクション が防止されます。
  • コードが失敗したときに例外をスローするようにします。何らかの理由でSQLサーバーがダウンしている場合があり、PDOなどのライブラリはデフォルトでそのエラーを無視し、ログに警告を記録します。これにより、DBから取得する変数がnullになります。コードによっては、セキュリティの問題が発生する可能性があります。
  • PDOemulateプリペアドステートメントなどのライブラリ。オフにします。
  • データベースで_UTF-8_エンコードを使用すると、事実上すべての文字を保存し、エンコード関連の攻撃を回避できます
  • クエリに何も連結しないでください。 $myquery = "INSERT INTO mydb.mytable (title) VALUES(" . $user_input . ")"のようなことは、SQLインジェクションの大きなセキュリティリスクがあることを意味します。
• アップロードしたファイルを、拡張子のないランダムなファイル名で保存します。ユーザーが_.php_ファイル拡張子を持つファイルをアップロードすると、コードがそのファイルをロードするたびに実行され、ユーザーがバックエンドコードを実行できるようになります。
• CSRF攻撃 に対して脆弱でないことを確認してください。
• PHPコピーを常に更新して、最新のセキュリティパッチとパフォーマンスの向上を確保する

データをエンコードする必要があるシステムに入力するポイントでのみデータをエンコードします。そうしないと、実際のデータを操作したい状況に陥ります。

SQLインジェクションの場合- PHPでSQLインジェクションを防止するにはどうすればよいですか？ で説明されているようにバインドされた変数を使用します（準備されたステートメントについて説明しますが、準備ではなく保護を提供するのはバインディングです）。

XSSの場合-HTMLまたはテキストのいずれかが指定された時点でHTMLに書き込む場合。ドキュメントを生成するポイントでhtmlentitiesを使用します。データベースにその形式でデータを保存することは避けます（CPUのパフォーマンス/ディスクアクセス時間が増えて問題になる書き込み/まれ/読み取りが多いシステムで可能な場合を除き、列のraw_バージョンとhtml_バージョンがあります） …またはmemcachedなどを使用します）。

ユーザーにURLの入力を許可する場合は、javascript:do_evil()が実行される有効なURIであるため、注意が必要です（たとえば、クリックされたリンクのhrefまたは（一部のブラウザーでは）srcのsrc読み込まれたばかりの画像）。

htmlspecialchars()は_&_、_'_、_"_、_<_、および_>_をHTMLエンティティ形式に変換します（_&_、_"_など）

htmlentities()は、該当するすべての文字をHTMLエンティティ形式に変換します。

strip_tags()はすべてのHTMLおよびPHPタグを削除します。

htmlspecialchars()とhtmlentities()は両方とも、引用符の処理方法を示すオプションのパラメーターを取ります。詳細については、PHPマニュアルを参照してください。

strip_tags()関数は、どのタグを削除しないかを示すオプションのパラメーターを取ります。

_ $var = strip_tags ($var, '<p><br />');
_

strip_tags()関数は、問題を引き起こす可能性のある無効なHTMLタグも削除します。たとえば、strip_tags()は、次のように不適切に形成されていても、HTMLタグであると考えられるすべてのコードを削除します。

_<b I forgot to close the tag.
_

データベースに挿入するときはmysql_escape_string（）を使用し、HTMLを表示するときにはhtmlentitesを使用するだけです。単純なインジェクション攻撃を防ぎたい場合はこれで十分ですが、Webアプリを開発する際に注意すべき他の多くのセキュリティ問題は間違いありません。

データベースにデータを挿入するとき、またはデータベースを照会するときに、htmlentities（）を使用しません。データベース内のデータがエンティティとして保存されている場合、そのデータはHTMLエンティティを理解するものにのみ役立ちます。

出力の種類ごとに異なるエスケープメカニズムを使用する必要があります。 SQL- mysql_real_escape_string（） 、HTML- htmlentities（） または htmlspecialchars（） 、Shell- escapeshellarg（） これは、「危険」な文字がそれぞれ異なるためです。出力媒体に対して安全なデータを作成する魔法の方法はありません。

これは古い質問だと思いますが、最近では最も多くの投票が寄せられた回答が初心者にとって誤解を招く可能性があります。

2017年現在

1. Mysql_real_escape_stringを使用しないでください。 mysqli_real_escape_stringでさえ、データベースをSQLインジェクションから保護するには弱すぎます。これの代わりに、PDO、および同様の手法を使用する必要があります。 （ そのガイド を参照）

2. XSS（ここで私が意味するもの：strip_tags()、addslashes()、htmlspecialchars()、htmlentities()）-ここで最も投票された答えはまだ正しいですが、私は読むことをお勧めします この記事

このサイトをご覧ください PHP Security Consortium 。 PHPセキュリティ（SQLインジェクションとXSSを含む）の全体的な概要に適したサイトであることがわかりました。