PHP | ねねとまつの小部屋

Tag Search

関連タグ ”+”をクリックすると絞込みが出来ます

関連するタグ

+ cakephp   + 比較演算子インジェクション   + CSRF  

» PHP を除去 » セキュリティ を除去

【CakePHP】CSRF対策でSecurityComponentを使う場合の注意点

by 赤がすき

Published 1 月 25th, 2008 in CSRF, PHP, cakephp, セキュリティ | 3 Comments »

add to hatena hatena.comment (0) add to del.icio.us (0) add to livedoor.clip (0) add to Yahoo!Bookmark (0) Total: 0

”同一ページに複数フォームを設置しない。”

CakePHP Users in Japan. クロスサイトリクエストフォージェリ対策

私の場合、条件によって、2種類のフォームを切り替えていたのですが、

ログインしてなければ、ログインフォーム(<?php echo $html->formTag(); ?>あり)を表示

ログインしていれば、ログインアウトフォーム(実体はボタンだけ)を表示していたのですが、

どうやら、このような場合でもダメだったようです。

CakePHPでCSRF対策をおこなう場合は、以下のページが詳しいです。

Shin x blogさんCakePHPでCSRF対策

Sun Limited Mt.さんCakePHP Security コンポーネントのまとめ

忘れてはならないのが、CakePHPガイドブック。役に立つ本です。

 

CakePHPガイドブック

 

CakePHPガイドブック

posted with amazlet on 08.01.25

安藤 祐介 新原 雅司 堂園 俊郎
毎日コミュニケーションズ (2007/10/25)
売り上げランキング: 22803

 

おすすめ度の平均: 4.5

5 よくまとまっている
5 1.1系がメイン、しかし基本的な学習には充分
4 判りやすく丁寧に書いてあります。

Amazon.co.jp で詳細を見る

Popularity: 31 %

一つ星二つ星三つ星四つ星五つ星 (2 投票, 平均: 1 中 5)
Loading ... Loading ...

【CakePHP】比較演算子インジェクションを気にせずに済む、findAllByやfindByでorderやlimitを指定する

by 赤がすき

Published 12 月 26th, 2007 in PHP, cakephp, セキュリティ, 比較演算子インジェクション | No Comments »

add to hatena hatena.comment (1) add to del.icio.us (0) add to livedoor.clip (1) add to Yahoo!Bookmark (0) Total: 2

激しく便利だったので、久しぶりにCakePHPネタを更新です。

CakePHPのfindやfindAllには、Shin x blogさんのCakePHP 比較演算子インジェクションに注意やCakePHPガイドブックで言及されているとおり、条件を連想配列で渡す場合、比較演算子インジェクションに注意しなければいけません。

それに対して、findByやfindByAllには、その対策がとられています。

ただし、 APIをみても

$this->モデル名->findAllbyカラム名(検索条件);

検索条件を指定するという書き方しか載っていません。

CakePHPガイドブック

ところが、

続きを読む >>  "【CakePHP】比較演算子インジェクションを気にせずに済む、findAllByやfindByでorderやlimitを指定する"

Popularity: 39 %

一つ星二つ星三つ星四つ星五つ星 (3 投票, 平均: 5 中 5)
Loading ... Loading ...