HOME
Lv044

「Lv044」の記事一覧

ユーザー入力をもとに `include` するファイルを決定する場合、ディレクトリトラバーサルを防ぐために `basename()` を使用するだけでは不十分なケースは何か。

ヌルバイト攻撃や

2026年1月24日

ファイルアップロードで、拡張子を偽装した実行ファイル（例：`image.php.jpg`）がサーバーの設定不備により実行されてしまう攻撃を防ぐための、Apacheの設定例はどれか。

FilesMatch で .php$ のみをPHPとして実行させるでファイルアップロードで

2026年1月24日

PHPの `unserialize()` を悪用した攻撃を防ぐための最善策はどれか。

unserializeを避け安全な形式を使う

2026年1月24日

「SameSite」Cookie属性の `Strict` 設定の効果はどれか。

クロスサイトのリクエストではCookieが送信されない

2026年1月24日

セッションIDをURLのクエリパラメータとして渡すこと（URL rewriting）のセキュリティリスクはどれか。

Refererヘッダなどを通じてセッションIDが漏洩するリスク

2026年1月24日

エラーメッセージにデータベースの構造やファイルパスなどの詳細情報を含めて表示してしまう脆弱性を何と呼ぶか。

2026年1月24日

`preg_replace()` の `/e` 修飾子がPHP 7.0で削除された理由は何か。

任意のコード実行の脆弱性につながるため

2026年1月24日

Webアプリケーションファイアウォール（WAF）では防げない、PHPアプリケーション内の論理的な脆弱性はどれか。

2026年1月24日

`filter_var()` 関数で、メールアドレスの形式を検証するためのフィルタ定数はどれか。

FILTER_VALIDATE_EMAILでfilter_var 関数で

2026年1月24日

パスワードの保存に適さないハッシュアルゴリズムはどれか。

MD5でパスワードの保存に適さないハッシュアルゴリズム

2026年1月24日