サニタイズ
2022-09-10 (土) 15:14:05
サイニタイズ †
名称 †
- サニタイジング
概要 †
- 入力データにHTMLやSQL等が含まれていた場合に無効化する。
- 入力データにセミコロン(;)が含まれていた場合は、セミコロン以降の文字列を切り捨てる。
- 入力データに特殊文字が含まれていた場合に、通常の文字に変換する等によりスクリプトとして機能しないよう無効化する。
機能の実装方法 †
- WAFのサニタイジング機能を使う。
特殊文字の種類 †
- ;(スクリプトの終了文字)
- &(パラメータの結合文字)
- >(タグの終了文字)
- '(SQLの文字列リテラル)
サニタイズが有効な不正アクセス †
- SQLインジェクション
- コマンドインジェクション
- XSS -クロスサイトスクリプティング