セキュリティ

SSL/TLS 1.0 は 2018年6月30日までに無効化しないといけない

2018 6/14

タイトルだけで終了していますが、

Q) SSL/TLS 1.0 はいつまでに無効化しなければならないか？
A) 遅くとも 2018年6月30日までには、全てのSSL/TLS 1.0を無効化する必要がある。

ということなので、今月末までに TLSv1 を無効化させておきましょう。

以上、セキュリティも気にしておきたい現場からお送りしました。

参考情報

SSL/TLS 1.0 はいつまでに無効化しなければならないか？ | NTTデータ先端技術株式会社

[Security]「SQLインジェクション対策」を理解するときに読むべきサイト

2011 11/10

『よくわかるPHPの教科書』の著者徳丸浩氏のブログを参考にして、「SQLインジェクション対策」を理解するときに読むべき記事を自分用にまとめました。

・参考：「SQLインジェクション対策」でGoogle検索して上位15記事を検証した – ockeghem(徳丸浩)の日記

まず、上記記事のまとめ部分から抜粋。

SQLを動的に組み立てない

SQLのパラメータ指定には静的プレースホルダを用いる

この2つを守っている限り、アプリケーションやSQL呼び出しライブラリなどにバグがあっても、原理的にSQLインジェクション脆弱性は発生しません。

SQLインジェクションについて書くときに以下のメッセージを必ず含めて欲しいです。

単にプリペアドステートメントを使え

絶対に文字列結合でSQLを構築しようとしてはいけない

IPAの「安全なSQLの呼び出し方」を読むこと

引用元：[SQLインジェクション対策]Webアプリケーションとかの入門本みたいのを書く人への心からのお願い。 – ＊「ふっかつのじゅもんがちがいます。」withぬこ

プリペアドステートメントって何？って方はココら辺に分かりやすく書いてあるのでおすすめ。

・プリペアドステートメント – データベース接続(PEAR::DB) – PEAR入門