ja:rule:ser:無用なserialize:unserialize_は利用しない
This is an old revision of the document!
外部データにserialize/unserialize_は利用しない
PHPのserialize/unserialize関数は安全なデータストレージなどにPHP変数を保存する為に利用します。一旦、外部に保存されたデータ($_POST、$_GET、$_COOKIEなど)は改ざんされ、unserialize時に不正なデータとなっている可能性があります。この結果、不正な値に改ざんされたり
非適合コード例
[ルール/推奨事項に適合しないコードおよびその解説。複数あってよい。]
適合コード例
[ルール/推奨事項に適合するコードおよびその解説。複数あって構わない。その場合、セクション名の後に“(適合パターン名)“を記述する。]
例外
[ルール/推奨事項の例外]
リスク評価
[ルール/推奨事項のリスク評価]
[評価例 - 英語表記に統一]
| Rule | Severity | Likelihood | Remediation Cost | Priority | Level |
|---|---|---|---|---|---|
| IDS05-J | medium | unlikely | medium | P4 | L3 |
関連ガイドライン
参考文献
ja/rule/ser/無用なserialize/unserialize_は利用しない.1482896130.txt.gz · Last modified: 2016/12/28 03:35 by yohgaki
