セキュリティ
このページではwebセキュリティに関する "ベストプラクティス" と、 CodeIgniter の内部のセキュリティ機能の詳細について説明します。
URI セキュリティ
CodeIgniter では、悪意のあるデータがアプリケーションに渡される可能性を最小限にするため、 URL 文字列で使用できる文字列を厳しく制限しています。URI には次の文字だけを使用できます:
- 英数字
- チルダ: ~
- ピリオド: .
- コロン: :
- アンダースコア: _
- ダッシュ(ハイフン): -
GET、POST、およびクッキーデータ
単純に、システムが通例のクエリ文字列ではなく URI セグメントを利用可能にしているので、CodeIgniter では、GET メソッドでのデータ(クエリ文字列)の使用は許可されません (設定ファイルで クエリ文字列オプションを有効にした場合はこの限りではありません)。システムが初期化される過程で、 グローバルな GET 配列($_GET)は入力クラスによってクリアされます。
Register_globals
$_POST および $_COOKIE 配列 以外の全グローバル変数は、システムが初期化されるときにクリアされます。 このクリア処理は register_globals = off と同等の効果を発揮します。
エラー報告
本番環境では、内部のエラー報告フラグの値を 0 に設定し PHP のエラー報告を無効にすることが通常は望ましいです。 これは、慎重に扱うべき情報が含まれる可能性のある PHP によるエラーが 出力としてレンダリングされないようにします。
index.php に含まれる CodeIgniter の定数 ENVIRONMENT の値を 'production' に設定するとこれらのエラーはオフになります。 開発モードでは、 'development' を使うことが推奨されます。 複数の環境の取扱い ページに、環境による違いについてのさらなる情報があります。
magic_quotes_runtime
magic_quotes_runtime ディレクティブは、データベースからデータを取得するときにスラッシュを除去する必要がないよう、 システムが初期化されるときに OFF にされます。
ベストプラクティス
送信された POST データ、COOKIE データ、URI データ、XML-RPC データあるいは、SERVER 配列($_SERVER)のデータでさえ、 アプリケーションでデータを受け取る前に、次の3つのステップを実施することをおすすめします:
- 危険なデータをフィルタリングする。
- データが正しい型、長さ、サイズなどであることを確かめるため、検証を行う (ときどき、このステップはステップ1と置き換えられます)。
- データベースにデータを送信する前にエスケープ処理を行う。
CodeIgniter では、この処理を支援するため次の機能が利用できます:
-
XSS フィルタリング
CodeIgniter にはクロスサイトスクリプティングフィルタがあります。このフィルタは、 悪意のある JavaScript を埋め込むのに使用される一般的な方法や、クッキーハイジャックや、 その他の危害を及ぼすものと思われる他のタイプのコードがデータに利用されていないかどうかを探します。XSS フィルタについては、こちらで説明しています。
データのバリデーション(検証)
CodeIgniter には、データの検証、フィルタリング、前処理を行うのを支援する フォーム・バリデーション(検証)クラスがあります。
データベースへデータを追加する前に全データをエスケープする
エスケープ処理をしないでデータベースにデータを記録してはいけません。 クエリ の説明をしているセクションでさらに詳しい情報をご覧ください。