こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

文字コードエスケープ処理について

現在MYSQLとPHPを使ってデータベースを構築してます。
XSSやSQLインジェクションはフォームなどに悪意のユーザがJavascriptのコードを入力するんですよね?

ちょっとテストで検索フォームに Javascriptコード を入力してみたんですが何も起こりませんでした。これは処理がされていると思って良いんでしょうか?URLは画像のようになりました。

大変申し訳ございませんが、この投稿に添付された画像や動画などは、「BIGLOBEなんでも相談室」ではご覧いただくことができません。 OKWAVEよりご覧ください。

マルチメディア機能とは?

投稿日時 - 2008-12-31 14:39:43

QNo.4595338

すぐに回答ほしいです

このQ&Aは役に立ちましたか?

2人が「このQ&Aが役に立った」と投票しています

回答(3)

ANo.3

mpx

>> XSSやSQLインジェクションはフォームなどに悪意のユーザが
>> Javascriptのコードを入力するんですよね?

Javascriptコードの入力はXSSの一つにすぎません。
特にSQLインジェクションでは、dbデータの不正取得や改竄、
フィッシングサイトへの誘導、シェルコマンドの不正実行、
他サイトへのDoS攻撃用の踏み台化など、javascriptなどを
利用しないアタックが主流です。

投稿日時 - 2009-01-04 01:48:07

ANo.2

質問の意図が、
「クロスサイトスクリプティング対策がなされているかどうかのテストとして、入力フィールドに、scriptタグでJavaScriptコードを書くテストをすればそれで十分か?」
ということであれば、「不十分」というのが答えです。
どういうテストをすべきかはこれだけの情報では何とも。

投稿日時 - 2009-01-01 22:59:45

お礼

お返事ありがとうございました。
難しいですね;;

投稿日時 - 2009-01-05 11:11:27

ANo.1

URLが上記の様になるのはフォームからresult.phpに
データをGETで渡しているだけなので処理はされていないと思います。

※くれぐれもこういう事はローカル環境でやってくださいね。

投稿日時 - 2008-12-31 16:34:11

お礼

ありがとうございます

>>※くれぐれもこういう事はローカル環境でやってくださいね。
当然ローカル環境です

投稿日時 - 2008-12-31 16:53:11

あなたにオススメの質問