PHPに無いセキュリティ機能 – PHPカンファレンス関西2015

PHPカンファレンス関西に参加してきました。私のセッションの資料をPDFまたはSlideshareで見れるようにしました。

• PHPにないセキュリティ機能（PDF）

ここに書いたPHPに無い機能ですが、他の言語／フレームワークでも無い物の多いです。PHPに限った話しではありません。言語／ライブラリに潜む脆弱性もPHPに限った話しではありません。他の言語やPHP＋フレームワークで利用されている方も十分注意してください。

このスライドを見れば何故私が「出力のセキュリティ対策としてエスケープ（エンコード）を第一に考えるべき」と解説しているのか解ると思います。

「入力をセキュリティ対策としてバリデーションしない」「出力のエスケープをセキュリティ対策として考えない」これらは攻撃者と一部のセキュリティ業者を喜ばせるだけで、開発者とシステムの利用者を不幸にするだけです。

参考：

• 標準と基本概念から学ぶ正しいセキュリティの基礎知識
• 開発者は必修、SANS TOP 25の怪物的なセキュリティ対策
• CERT Top 10 Secure Coding Standard
  
• OWASP Secure Coding Practices – Quick Reference Guide
• エンジニア必須の概念 – 契約による設計と信頼境界線