■CSRF脆弱性対策

ワンタイムトークンを使用した対策

画面１でトークンを作成して、セッションに書き込む

↓

画面２に遷移するときに、POSTなどで値をもって行く

そのときに、セッション内の値をPOSTの持っている値を比較して、一致すれば正しいと言える


※同時に２画面をあける場合などもあるので、トークンは配列としてセッション登録する。

　→in arrayを使用して、一致するかしないかすぐわかる

■XSS(クロスサイトスクリプティング)対策

出力時に　「htmlspecialchars()」　で必ずエスケープしないといけない。
サニタイズとは？

入力値をDBなどに登録する前にエスケープしたりして無毒化すること

これはやってはいけないことらしいです！

・英語の用語の先頭は大文字で記述することをキャメルケースという
　→たとえば　「OAuth」　はOの次に大文字があるので、Oは何かを省略した文字だという事がわかる

。