私は現在、大学の最終学年で論文を書いています。私が調査する必要がある分野の 1 つは、Web サイトとデータベースの両方のセキュリティです。現在、次のセクションがあります。
- Webサイト
- フォーム セキュリティ - データ検証など。このセクションでは、ハッカーを阻止するよりも、正当なユーザーによるエラーを可能な限り防止することに重点を置いています。たとえば、フィールドを正規表現と比較し、発生したエラーについて有意義なフィードバックを提供して再発を防止します。
- 制約。たとえば、値が true または false でなければならない場合は、チェックボックスを使用します。複数の値のいずれかである可能性が高い場合は、ドロップダウンまたは一連のラジオ ボックスなどを使用します。値が予測できない場合は、正規表現を使用して、入力できる文字を制限し、文字列の長さを制限し、場合によっては形式 (日付/時刻、郵便番号など) を制限します。
- フォームへのアクセス許可を制限できる場合があります。これは、誰がフォームにアクセスする必要があるかを正確に把握している場合 (管理者や従業員などの人の名前またはグループ) です。アクセス許可を制限すると、一般ユーザーはフォームにアクセスできなくなります。
- 悪意を持って使用されたり、Web サイトが正しく動作しない原因となる可能性のある記号や文字列 (script タグなど) は、除外するか、html でエンコードする必要があります。
- キャプチャ画像を使用して、自動化されたシステムがフォームに入力して送信するのを防ぐことができます。
- 二重拡張子を使用するなど、ファイルのアップロードにはいくつかのハッキングがあり、ハッカーが悪意のあるファイルをアップロードできる可能性があります。
- データベース (これはまだ完了にはほど遠いですが、計画しているセクションを以下に示します)
- SQL ステートメントとストアド プロシージャ
- 変数の 1 つに特定の文字または文字グループが含まれている場合にエラーをスローします (それらが何の文字かは思い出せませんが、テキスト領域に html などを入力しようとした場所の前に、メッセージが返されたのを見たことがあります)。
- SQL インジェクション - およびその回避方法と、いくつかの例。
これらの領域または私がカバーできるセキュリティの他の領域について、まともで信頼できる情報を得るためにどこに行くことができるかについて、ヒントやヒントはありますか?
前もって感謝します。
よろしく、
リチャード
PS セキュリティに関してはまったくの初心者ですので、しばらくお待ちください。私が書き留めた情報のいずれかが間違っているか、サブセクションに分けられる可能性がある場合は、遠慮なくそのように言ってください.