Laravel 5 で制御文字を禁止するバリデーションルールを追加する

Laravel 5 で制御文字を禁止するバリデーションルールを追加する

ウェブアプリケーションにもいろいろありますが、制御文字を受け入れる必要のないパラメータは割と多いんじゃないかと思います。そのようなパラメータでは、最初から制御文字を受け入れないようになっていれば、セキュリティ面のリスクも減ります。そこで今回は、Laravel 5 を使ったウェブアプリケーションで、制
Read more…

PHPで画像ファイルかどうかを検証する(Laravel)

PHPで画像ファイルかどうかを検証する(Laravel)

特定のファイルが画像ファイルかどうかを検証するPHPの関数を書いてみました。ウェブサイトにアップロードされた画像ファイルを検証する時などに使うことを想定しています。 GIF/JPEG/PNG のみ対象としています。 Laravelを使っていることを前提としているので、エラー発生時には ErrorEx
Read more…

ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法

ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法

以前、OWASP ZAP に追加された attack mode の概要 というエントリを書きましたが、このATTACK modeを使った簡単なセキュリティ検査の手順をメモしておきます。この機能を使えば、ウェブアプリケーションの開発中にZAPが勝手に脆弱性スキャンしてくれます。 ※ この機能が追加され
Read more…

セキュリティに関するヘッダを出力するPHPスクリプトの叩き台

セキュリティに関するヘッダを出力するPHPスクリプトの叩き台

セキュリティ関連のHTTPレスポンスヘッダを毎回調べて書くのが面倒なので、ここにまとめておくことにします。 PHPで何か書く時は レスポンスヘッダを出力するあたりに以下を書いておき、制限がキツいようだったら少しずつ緩めていくという使い方をイメージしています。 <?php // セッションクッキ
Read more…