初級PHPプログラマがおかしがちなミスTOP10:phpspot開発日誌
という記事。
主にセキュリティー関連の問題が取り上げられています。PHP初級の自分も納得&反省・・・です。
自分で書いたPHPをテストするときなどはついつい簡単なスクリプトにしてしまうのですが、テストしている段階から、このようなことに気をつけながら書かないと悪いクセになってしまいそうです。
- 生でクエリを出力しない
(Not escaping entities) - SQLクエリに$_GET,$_POST,$_REQUESTの値を直接含めない
(Not Escaping SQL input) - header, session_otart, setcookieを何か出力した後に実行
(Wrong use of HTTP-header related functions: header(), session_otart(), setcookie() ) - ユーザクエリを元にincludeしない
(Requiring and including files using untrusted data) - php.iniのmagic_quotes設定による自動エスケープの罠
(Double escaping quotes) - メモ帳などの使いにくいエディタはやめる
(Syntax errors) - オブジェクト指向しよう
(No or little use of Object Orientation) - フレームワークを使わない開発
(Not using a framework) - 標準関数をもっと知ろう
(Not knowing about existing functionality) - 古いバージョンのPHPは使わない
(Using old PHP versions)
元記事:The PHP coder’s top 10 mistakes and problems @ SourceRally.net PHP Community
