Webアプリケーションの公開にあたって必要な対策は？

お世話になっております。知識がなく、悩んでおります。
インターネットに公開されるWebアプリケーションへの攻撃には、次の対策で十分だと考えたのですが。これにはどこか誤りがありますでしょうか。あるいは正しいでしょうか。どなたか、お教え願えないでしょうか。

１．公開されるフォルダに置くファイルにはパスワード等重要な情報を置かずに最小限にする。
２．入力されるデータの種類をチェックし、指定された形式以外のデータを受け入れないようにする。
３．送信された値がSQL文になってしまうようなスクリプトを作らない。
４．入力されるデータのタグを取り除く。

どうか、よろしくお願いいたします。

No.1 ベストアンサー 回答者： mizuno3 回答日時： 2007/10/20 02:21

扱うアプリケーションによって色々なことが考えられると思います。

１～４はどれも重要だと思います。

その他にも非常に様々なセキュリティホールが出来てしまう可能性があります。

・ハードウェア的なセキュリティ
・ミドルウェア的なセキュリティ
・ソフトウェア的なセキュリティ
・ネットワークのセキュリティ

この辺の総合的な知識が必要になります。

が、実際には個人的に使用する場合、レンタルサーバーなどでの利用が多くなると思うので、ソフトウェア的なところが重要かと思います。

まずは攻撃方法に対する防衛方法などの知識を詰め込めるだけつめこんでおくといいのではないでしょうか。

参考URLはJPNICのセキュリティに関するページです。

参考URL：http://www.soi.wide.ad.jp/class/20050011/slides/ …

この回答へのお礼

お礼が遅くなって、申し訳ありませんでした。

１～４も、自信がなかったもので、
とても助かりました。
ありがとうございました。

お礼日時：2007/10/23 19:27

No.2 回答者： inu2 回答日時： 2007/10/20 03:07

1.

htdocs側(公開側)にはindex.phpのみとし、中身はコントローラーまたはバック側にあるコントローラーを呼び出し、入力情報を渡し、実行する数行のScriptのみとする
場合によってはApacheのmod_rewriteと併用する事。

2.
validate用のclassを用意しルール決めをDBや設定ファイルなどをつくり、ページ単位入力項目単位で逐次追加したり変更できるようにしておく

3.
Daoを作るおよびプリペアドステートメントでクエリーを行う

4.
頭ごなしに入力時にはHTMLタグを取るのは一考の余地あり。
ロジック処理中にタグは何も悪さはしない、悪さするのは出力時。
よってHTMLタグを排除するのは出力時とする

この回答へのお礼

お礼が遅くなって、申し訳ありませんでした。

ご回答いただき、ありがとうございました。
私の知識では、理解できないところもあるのですが、
参考になりました。
ありがとうございました。

お礼日時：2007/10/23 19:29