HOME
Lv034

「Lv034」の記事一覧

HTTPレスポンスヘッダインジェクションを防ぐために、PHP（最近のバージョン）が行っている対策はどれか。

headerの改行を拒否しヘッダ注入を防止

2026年1月24日

ファイルアップロード機能において、アップロードされたファイルのMIMEタイプ（`$_FILES[‘file’][‘type’]`）を信頼すべきでない理由はどれか。

ブラウザ側で偽装可能だ

2026年1月24日

PHPの「ヌルバイト攻撃」とは何か。

文字列の途中に \0 を含めることで、C言語レベルの関数に行末と誤認させる攻撃

2026年1月24日

`open_basedir` 設定の役割はどれか。

PHPがアクセスできるファイルシステムの範囲を制限する

2026年1月24日

CSRF対策のトークンを検証する際、タイミング攻撃を防ぐために使用すべき比較関数はどれか。

hash_equalsはCSRF対策のトークンを検証際

2026年1月24日

XSS対策として `htmlspecialchars()` を使用する際、第3引数（文字コード）を省略した場合のデフォルト値は、PHP 5.6以降どうなっているか。

php.ini の設定値

2026年1月24日

外部からの入力値（`$_GET` など）を直接 `include` 文のパスに使用することで発生する脆弱性はどれか。

ディレクトリトラバーサル / LFI は外部からの入力値を直接 include 文のパス

2026年1月24日

セッション固定攻撃（Session Fixation）の対策として正しいものはどれか。

ログイン後にID再発行し固定攻撃を防ぐ

2026年1月24日

パスワードハッシュの「ソルト」の役割として正しいものはどれか。

レインボーテーブル攻撃への耐性を高める

2026年1月24日

SQLインジェクション脆弱性が発生する主な原因はどれか。

ユーザー入力を適切にエスケープまたはバインドせずにSQL文に連結している

2026年1月24日