User Tools

Site Tools


ja:rule:ser:無用なserialize:unserialize_は利用しない

This is an old revision of the document!


外部データにserialize/unserialize_は利用しない

PHPのserialize/unserialize関数は安全なデータストレージなどにPHP変数を保存する為に利用します。一旦、外部に保存されたデータ($_POST、$_GET、$_COOKIEなど)は改ざんされ、unserialize時に不正なデータとなっている可能性があります。この結果、不正な値に改ざんされたり

非適合コード例

[ルール/推奨事項に適合しないコードおよびその解説。複数あってよい。]

適合コード例

[ルール/推奨事項に適合するコードおよびその解説。複数あって構わない。その場合、セクション名の後に“(適合パターン名)“を記述する。]

例外

[ルール/推奨事項の例外]

リスク評価

[ルール/推奨事項のリスク評価]

[評価例 - 英語表記に統一]

Rule Severity Likelihood Remediation Cost Priority Level
IDS05-J medium unlikely medium P4 L3

関連ガイドライン

参考文献

ja/rule/ser/無用なserialize/unserialize_は利用しない.1482896130.txt.gz · Last modified: 2016/12/28 03:35 by yohgaki

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki