ですから、私は少し経験豊富なphp開発者であり、2007年から「ひどいことをしている」のです。ただし、アプリケーションのセキュリティ保護に関しては、まだ比較的問題があります。自分ができること、すべきことをすべて知っているわけではないという意味で。
私はPHPWebアプリケーションの保護を取り上げ、その過程で物事をテストする方法を読んでいます。データベースクエリ(主にmysqlの下)に関連する一般的なSOグループについていくつか質問があります。
データベースにデータを配置するアプリを作成する場合、mysql_real_escape_stringと入力データの一般的なチェック(is_numericなど)で十分ですか?SQLインジェクションとは異なる他のタイプの攻撃についてはどうでしょうか。
誰かがストアドプロシージャとプリペアドステートメントを、あなたがそれらを作成して呼び出すよりも少し多くの情報で説明できますか?それらがどのように機能するのか、舞台裏でどのような検証が行われているのかを知りたいです。
私はphp4にバインドされた環境で作業していますが、当面はphp5はオプションではありません。他の誰かが以前にこの立場にあったことがありますが、すべてのクールな子供たちがその甘い新しいmysqliインターフェイスを使用している間に、アプリケーションを保護するために何をしましたか?
アップグレードや可能な移行(php4からphp5への移行など)に耐えられるインフラストラクチャの作成に重点を置いて、人々が有利であると考えている一般的なグッドプラクティスは何ですか。
注:検索したところ、php-mysqlのセキュリティに影響を与えるこれに類似したものは見つかりませんでした。