webシステムのセキュリティについて。

http://www.ipa.go.jp/security/awareness/vendor/programmingv2/ind...

IPA（独立行政法人情報処理推進機構）のセキュリティ講座です。

PHPに特化した記述ではありませんがどの言語でも基本は同じです。

ここに記述されていることを抑えておけば大丈夫でしょう。

私もWeb構築をよくします。中規模程度の企業サイト（個人の鯖ではここまで考慮しなくてもいいと思います）の場合を想定して考慮すべきことを羅列してみました。

コーディング上で出来るセキュリティのうち一番気をつけているのはクロスサイトスクリプティングです。

http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B...

のっとりが一番怖いのです。。。

あとは各ページに不正なアクセスが無いかセキュリティ監査を設けています。パラの妥当性や改ざん、なりすましなど細かくチェック

コーディング外でもセキュリティを考慮しなければいけないことはいっぱいあります。

日々できることとしては最新セキュリティパッチの導入ですね。

メールでも重要なことは暗号化しますし、認証情報や個人情報はもちろんのことです。

ファイアーウォールはソフトよりも鯖とは別にハードを用意します。最低限必要なポートしか開けません。またここにも監視を入れてたりします。海外や串、接続時間、アクセス元、アクセス先など怪しいものを事前にチェックできるものはする。

適切なアクセス権になるようファイルやフォルダに権限を与えたり、重要情報は公開フォルダから外しておいたり。

※万一に備え常駐アプリでホムペの改竄チェックもしていますよ。

セキュリティ対策は環境や目的、予算によって随分違うように思えます。専門スタッフを置けないのであれば、ある程度有名なレンタルサーバーを借りるのが吉かも知れませんよ。楽だしね＾＾

Webアプリケーションを作る前に知るべき10の脆弱性 − ＠IT

星野君のWebアプリほのぼの改造計画 連載インデックス - ＠IT -

さしあたりプログラム側ではこのぐらいは。

ＯＳ自体のセキュリティホールもありますが、一般的にアプリのほうが脆弱です。

セキュリティーといったら、いろいろ関わっています。

１．サーバの弱性

　 ホール、ポートなどチェックして、弱性があるかどうか

２．データベースの弱性

　常に最新バッチを確認し、影響がなければ適用

　ログインユーザのセキュリティの設定の弱性があるかどうか

３．ウェブアプリの確認

　アプリケーションサーバの安全性を確認する

　サーバサイトのアプリの言語自体の安全性を確認する

　クライアントサイトのクロスサイトスクリプティングがあるかどうかを確認する

４．後は運用上のデータ保全性の確認

　バックアップ体制はどうなるかなどの確認

大まかに書いて、ご参考まで。