PHPのセキュリティ（ドキュメントルート・localhost）

《ANo.1の続きです》

> localhostに接続する際にも、
> XSSやSQL Injectionの被害を受けることはあるのでしょうか。
　：
> htdocs内で単純に作ったスクリプトにも、
> 気を配らないといけなくてはならなく面倒だなと。

確かにそのとおりですが、私のことを言ってしまえば、
localhostのセキュリティ対策はあまり考えていませんし、テストで書いた
コードも置きっぱなしにしています。
可能性はありますけれど、そこまで神経質にならなくていいかなー、
と私は思います。ほかの方のご意見があったら、聞いてみたいですね。

LANケーブルを抜いておくとか、パーソナルファイアウォールを動かして
Webサーバーへのアクセスを遮断しておけば、自分以外はアクセスしてきませんよね。
(一方で、こういう安心の裏にセキュリティ被害があるわけですが)

ただ、セキュリティ対策の本質というのは、決められた項目を守るとかいう
マニュアル主義的なものではなく、常に注意を配って被害を未然に防ぐとか
被害が出てもすぐ回復できる体制を整える、とかいうものだと理解しています。

投入できる時間やエネルギーと相談して、localhostのセキュリティにも
気を配るか、あるいは万一SQLインジェクションされて被害が出ても、
すぐ回復できるようにバックアップしておくとかでしょうか。

＞localhostに接続

ローカルといえどサーバーアプリを起動したまま、ネットにも繋がっていると
そのパソコンのIPアドレスが外部から解ってしまうと
http://数値IPアドレス/
みたいなurlで外からアクセスできてしまうので、テスト用のセキュリティ不十分なプログラムが実行されてしまう、と言うところが問題になるかと思います。

ということで、No2回答でも書かれていますが、
ローカルサーバーを実行する時は、ネットワーク回路を外す。さらには、自己IP以外からのアクセスを弾くようにしておく。
ネットワークに繋げる時は、テスト用サーバーは終了しておく。
といった注意をしておけば、あとは、ファイアーウォールとウイルス対策の方に気を付けていればよいかと思います。

ドキュメントルートより上にファイルを置くのは、レンタルサーバーでは

不可能ではないかということですね。

xserverの場合はpublic_html/がドキュメントルートということですが、
これは自分専用のフォルダが/home/user/だとすれば、ドキュメント
ルートが/home/user/public_html/だということだと思います。

この場合、/home/user/public_html/index.phpは、
http://www.example.com/index.phpでアクセスできると仮定すると、
そのindex.phpの中で、
$fp = fopen('../password.txt', 'r');
なんてやったりしますと、開くファイルは/home/user/password.txtになります。

このpassword.txtはインターネットからブラウザを用いて見ようとしても
見えませんよね。もちろん/home/user/は自分専用のフォルダなので、
password.txtを設置することはできます。

しかし、/home/user/public_html/index.phpで、
$fp = fopen('password.txt', 'r');
とやった場合、開くのは/home/user/public_html/password.txtです。
確かにそこにもpassword.txtを設置できますが、これは
http://www.example.com/password.txtにアクセスすると見えて
しまいます。まずいですね。

私もとあるレンタルサーバー(共用)を利用していますが、上記と同様の
フォルダ構成になっているので、ドキュメントルートのより上にファイルを
置くことができています。

2点目のlocalhostで行うセキュリティ対策というのは何のことか
よくわからなかったのですが、もし「PHPサイバーテロの技法」の記述に
ついての質問でしたら、ページ数を指摘していただけますか。

あるいは、「セキュリティ対策」の内容について具体的に書いて頂けますと、
お答えできるとおもいます。