CSRF・XSS脆弱性対策
ワンタイムトークンを使用した対策
画面1でトークンを作成して、セッションに書き込む
↓
画面2に遷移するときに、POSTなどで値をもって行く
そのときに、セッション内の値をPOSTの持っている値を比較して、一致すれば正しいと言える
※同時に2画面をあける場合などもあるので、トークンは配列としてセッション登録する。
→in arrayを使用して、一致するかしないかすぐわかる
■XSS(クロスサイトスクリプティング)対策
出力時に 「htmlspecialchars()」 で必ずエスケープしないといけない。サニタイズとは?
入力値をDBなどに登録する前にエスケープしたりして無毒化すること
これはやってはいけないことらしいです!
・英語の用語の先頭は大文字で記述することをキャメルケースという
→たとえば 「OAuth」 はOの次に大文字があるので、Oは何かを省略した文字だという事がわかる
。