PHPで誰でも簡単Webサービス製作！でなんか作って公開した奴ちょっと来い - 甘味志向＠はてな
XSSとセキュリティリスク - ぼくはまちちゃん！

echo "

ようこそ！ ".$_GET['id']."さん！！

開発側から言うと、文字参照に変換しないで HTML に出力するのは単純に間違っているからですね。文字参照に変換しないコーディングはプラックティスとしてもよくないですし。XSS の CERT Advisory が出たのは前世紀ですし、そろそろみんな正しくコーディングしましょうと。少なくともデフォルトで文字参照に変換しましょうと。

ユーザ側からは、信頼してないサイトに XSS があっても確かに影響は少ないですね。もともと信頼してないわけですし。また、信頼しているサイトに XSS が 1つでもあれば、信頼が減るでしょうね。

初心者の人が練習で Webサイトを公開する場合、サイトに「当サイトでは、セキュリティ対策が正しくなされていない可能性があります」ような告知があればいいのかな？どうなんでしょう？

参考文献

PHP 逆引きレシピ (PROGRAMMER'S RECiPE)

• 作者: 鈴木憲治,安藤建一,山田直明,八木照朗,山本義之,河合勝彦
• 出版社/メーカー: 翔泳社
• 発売日: 2009/06/30
• メディア: 単行本（ソフトカバー）
• 購入: 42人 クリック: 291回
• この商品を含むブログ (33件) を見る

PHPサイバーテロの技法―攻撃と防御の実際

• 作者: GIJOE
• 出版社/メーカー: ソシム
• 発売日: 2005/11/01
• メディア: 単行本
• 購入: 32人 クリック: 340回
• この商品を含むブログ (82件) を見る

入門PHPセキュリティ

• 作者: Chris Shiflett,桑村潤,廣川類
• 出版社/メーカー: オライリージャパン
• 発売日: 2006/05/01
• メディア: 単行本
• 購入: 7人 クリック: 96回
• この商品を含むブログ (19件) を見る

Webアプリセキュリティ対策入門 ~あなたのサイトは大丈夫?

• 作者: 大垣靖男
• 出版社/メーカー: 技術評論社
• 発売日: 2006/03/16
• メディア: 単行本
• 購入: 6人 クリック: 54回
• この商品を含むブログ (19件) を見る