セキュアプログラミングのポイント

1.SQLの組立には、プレースホルダを利用する

　　・バインドされる値が、エスケープ処理される

　　・プレースホルダが利用できない場合は、エスケープ処理する

2.ファイル名を指定するような場合は、ファイル名のチェックを行う

　　・「/」「../」などのディレクトリを指定されるような入力を防ぐ

3.セッション管理は、アプリケーションサーバに任せる

　　・URLのパラメータなどに入れない

4.Cookieには、secure属性を加える

       secure属性を加えれば。httpsのみで利用され、httpの盗聴への対策となる

5.ログインに成功したら、既存のセッションを破棄して、新しいセッションを開始する

6.入出力のチェックを行う

7.HTTPレスポンスヘッダの、Content-TYPE に、文字コードを指定する

　　　特定の文字コードで、スクリプトのタグとなるような攻撃を防ぐ

8.Cookie にHttpOnly属性を加える

　　　HTML内のスクリプトからのアクセスが禁止できる

9.ブラウザのセキュリティ機能を有効にするようなレスポンスヘッダを返す

　　　例えば、X-XSS-Protection。クロスサイト。スクリプティングをブロックする機能

10.重要な処理を行う前には、再度パスワード入力を求める

11.Referで、遷移元が正しいかを、チェックする

12.重要な操作を行った場合には、メールを出し確認する

13.HTTPレスポンスヘッダに、X-Frame-Optionを出力し、他のドメインからのframe要素、iframe要素による読み込みを制限する