PHPファイルに関する質問です。
長らくHTMLでホームページを運営してきたのですが、外部ブログをサイト上に表示させるGoogle Feed API が終了してしまい、今更ではございますが、PHPファイルを用意してそこで外部ブログの情報を受け取ってから、個人のサイト上に表示させるということを試そうかなと思っています。
以下が、実行しようとしている方法です。
http://on-ze.com/archives/5062
ただ、上記の方法を行う上で、1点心配があります。
PHPファイルはセキュリティ的に危ないと、よく友人から聞くのですが、
例えばワードプレスの大事な情報が載っているPHPファイルは厳重に管理しないとまずいというのはすごく理解できるのですが、
外部ブログを読み込むためのPHPや、例えばお問い合わせフォームで使うようなPHPに、大きなリスクというものはあるのでしょうか。
パーミッションで守るくらいではだめなのでしょうか。
今までPHPを使うことに特に何も感じなかったのですが、ふと心配になり、質問致します。
どなた様か、どうか宜しくお願いいたします。
みんなの回答 6 件
お問い合わせフォームは大きなリスクあるぞ。フォームから悪意のあるデータを送信される可能性があるし、ログ保存してたらデータ流出の危機もある。
PHPファイルの実行とて同じ。PHPファイルはサーバ上で実行するわけだから、セキュリティ関係の対処をしていない場合は、サーバが攻撃される。サーバ上のファイルをすべて削除されたり、サーバから無差別にメール送信されたりな。(自分が加害者になる)
phpでhtml吐き出すだけなら大丈夫だと思いますけど、ログインとか問い合わせフォームはXSSやSQLインジェクション対策してないと、入力した情報が漏れる可能性がありますね。
回答がバガばっかりで笑うわこんなんwww
言葉は悪いがバカ回答ばかりってのはなんか解る(笑)。
PHPそのものは別にセキュリティに弱いという事はない。もしそうならYahoo!は使ってないよ。セキュリティに弱いプログラミングをするなって事。理解できないようなら手を出さないのが懸命だが、外部のRSSフィードを読むぐらいで何の不安があるのかはよく解からん。
とりあえずやってみたらいいよ
やんないとわかんないもんね
友人がphp云々いってるのはallow_url_fopenの脆弱性、というか危険性のことじゃない?
RSS取得するぐらいならJavaScriptでやったらいいと思うよ(詳細はggrks)。
あとhtmlspecialcharsは正露丸じゃないんでセキュリティ関係は徳丸本読んで勉強してくださいな。
関連するトピックス