ポータルサイトでのスクリプトについて

ポータルサイトを業者の方に作成してもらいました。

実際に顧客が使う管理画面を触っていたところ、
javascriptやphpがそのまま反映されてしまうことがわかりました。

これって大丈夫なんでしょうか？
私自身そこまで詳しくないため、どんなコードでも反映されるのかどうかはわかりません。
やってみたことは、

・ハローワールド
・日付選択ボックス
・現在時刻表示

です。
実際に使う顧客側にそこまで知識があるかどうか不明ですが、
これって業者に言って使えなくするべきでしょうか？

それともこれはある程度の制限をかければOKなのでしょうか？

よろしくお願い致します。

No.2 ベストアンサー 回答者： lv4u 回答日時： 2013/10/22 20:57

No.1さんの回答にありますが、そのサイトは、セキュリティを考慮していない作りになっているようです。

昔は、そんなＷｅｂサイトも多かったと思いますけど、現在では、危なくて公開できないサイトですね。

もしかすると、管理画面だけが、いい加減な作りになってるのかもしれませんが、普通に考えれば、全体的に似たような作りだと思うのが普通ですよね？

一般的に、セキュリティを考慮するとコーディングの手間が増えるのですけど、最新のフレームワークを使っていたら、そんなに工数を増やすことなくセキュリティを高めることが可能だと思います。

>>それともこれはある程度の制限をかければOKなのでしょうか？

まあ、そうですけど、テキスト入力のある箇所、全ての修正が必要になるので、ちょっと修正作業は面倒だと思います。

ＩＢＭのセキュリティ・イベント情報をみますと、２０１３年度の上半期におけるＷｅｂアプリケーションへの攻撃の３／４以上がＳＱＬインジェクションだったといいます。
質問者さんのサイトは、この攻撃を受けると、簡単に攻略されてしまいそうです。

この回答へのお礼

お礼が遅くなってすみません。
業者にいって、顧客側ではタグが反映されないように改修して頂きました。

お礼日時：2013/11/09 17:06

No.1 回答者： hue2011 回答日時： 2013/10/21 21:38

レポートがやや舌足らずの気がします。

phpやjavascriptのソースがそのまま表示されるということでしょうか。

とはいえ、開発者の能力不足と思われます。

もしテキスト入力のできるような機能があるのであれば、次のようにタイプしてみてください。
<a href="http://www.yahoo.co.jp">？？？</a>
こう入力したテキストを保存して表示しなおしたらどうなりますか。
そのまま完全に表示するようであれば、能力に不足はありません。
何か変なことを起こしたら、勉強不足の技術者です。

能力不足ですから苦情をいっても方法がわからないと思われます。
業者を替えるべきです。

この回答への補足

回答ありがとうございます。

？？？のリンクが表示され、クリックするとyahooへ飛びました。

スクリプト書くとその結果がそのまま表示されるので、これって悪意のあるコードを埋められたりしたら…って考えて質問させて頂きました。

反映される時とされない時があり謎です。

補足日時：2013/10/22 14:46