<?xml version="1.0" encoding="UTF-8"?>
<!-- generator="FeedCreator 1.8" -->
<?xml-stylesheet href="https://php-secure-coding.ohgaki.net/lib/exe/css.php?s=feed" type="text/css"?>
<rss version="2.0">
    <channel xmlns:g="http://base.google.com/ns/1.0">
        <title>PHP Secure Coding Standard - ja:rule:out</title>
        <description></description>
        <link>https://php-secure-coding.ohgaki.net/</link>
        <lastBuildDate>Wed, 01 Jul 2026 19:54:52 +0000</lastBuildDate>
        <generator>FeedCreator 1.8</generator>
        <image>
            <url>https://php-secure-coding.ohgaki.net/lib/exe/fetch.php/wiki/dokuwiki.svg</url>
            <title>PHP Secure Coding Standard</title>
            <link>https://php-secure-coding.ohgaki.net/</link>
        </image>
        <item>
            <title>pcreメタ文字のエスケープはデリミター文字を指定する</title>
            <link>https://php-secure-coding.ohgaki.net/doku.php/ja/rule/out/pcre%E3%83%A1%E3%82%BF%E6%96%87%E5%AD%97%E3%81%AE%E3%82%A8%E3%82%B9%E3%82%B1%E3%83%BC%E3%83%97%E3%81%AF%E3%83%87%E3%83%AA%E3%83%9F%E3%82%BF%E3%83%BC%E6%96%87%E5%AD%97%E3%82%92%E6%8C%87%E5%AE%9A%E3%81%99%E3%82%8B?rev=1468461314&amp;do=diff</link>
            <description>pcreメタ文字のエスケープはデリミター文字を指定する

PHP 7.0未満のPHPではPCRE関数はe修飾子をサポートしている。ユーザー入力を正規表現に利用する場合、pcre_quote関数によるエスケープが必要だが、PCREのデリミター文字は任意の記号文字が指定できるため、オプションのデリミター文字を必ず指定しなければならない。指定しない場合、任意PHPコード実行が可能となる。</description>
            <author>anonymous@undisclosed.example.com (Anonymous)</author>
            <pubDate>Thu, 14 Jul 2016 01:55:14 +0000</pubDate>
        </item>
        <item>
            <title>エスケープの必要がないapiの制限を熟知する</title>
            <link>https://php-secure-coding.ohgaki.net/doku.php/ja/rule/out/%E3%82%A8%E3%82%B9%E3%82%B1%E3%83%BC%E3%83%97%E3%81%AE%E5%BF%85%E8%A6%81%E3%81%8C%E3%81%AA%E3%81%84api%E3%81%AE%E5%88%B6%E9%99%90%E3%82%92%E7%86%9F%E7%9F%A5%E3%81%99%E3%82%8B?rev=1467096999&amp;do=diff</link>
            <description>エスケープの必要がないAPIの制限を熟知する

出力を無害化する方法には

	*  エスケープする
	*  エスケープする必要がないAPIを利用する
	*  バリデーションする

の3つの方法がある。「エスケープする必要がないAPI」は盲目的に利用して安全とは言えない。</description>
            <author>anonymous@undisclosed.example.com (Anonymous)</author>
            <pubDate>Tue, 28 Jun 2016 06:56:39 +0000</pubDate>
        </item>
        <item>
            <title>入力処理時のバリデーションを出力処理時のバリデーションとしない</title>
            <link>https://php-secure-coding.ohgaki.net/doku.php/ja/rule/out/%E5%85%A5%E5%8A%9B%E5%87%A6%E7%90%86%E6%99%82%E3%81%AE%E3%83%90%E3%83%AA%E3%83%87%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%82%92%E5%87%BA%E5%8A%9B%E5%87%A6%E7%90%86%E6%99%82%E3%81%AE%E3%83%90%E3%83%AA%E3%83%87%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%A8%E3%81%97%E3%81%AA%E3%81%84?rev=1467105897&amp;do=diff</link>
            <description>入力処理時のバリデーションを出力処理時のバリデーションとしない

入力処理時のバリデーションは入力のコンテクスト、出力時のバリデーションには出力のコンテクストに合わせてバリデーションする。</description>
            <author>anonymous@undisclosed.example.com (Anonymous)</author>
            <pubDate>Tue, 28 Jun 2016 09:24:57 +0000</pubDate>
        </item>
        <item>
            <title>出力バリデーションにブラックリスト方式を用いない</title>
            <link>https://php-secure-coding.ohgaki.net/doku.php/ja/rule/out/%E5%87%BA%E5%8A%9B%E3%83%90%E3%83%AA%E3%83%87%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AB%E3%83%96%E3%83%A9%E3%83%83%E3%82%AF%E3%83%AA%E3%82%B9%E3%83%88%E6%96%B9%E5%BC%8F%E3%82%92%E7%94%A8%E3%81%84%E3%81%AA%E3%81%84?rev=1458519783&amp;do=diff</link>
            <description>出力バリデーションにブラックリスト方式を用いない

入力バリデーションにブラックリスト方式を用いないように、出力バリデーションにもブラックリスト方式を用いてはならない。ブラックリスト方式はホワイトリスト方式に比べ脆弱である。</description>
            <author>anonymous@undisclosed.example.com (Anonymous)</author>
            <pubDate>Mon, 21 Mar 2016 00:23:03 +0000</pubDate>
        </item>
        <item>
            <title>外部へ出力するデータはデフォルトで全て無害化する</title>
            <link>https://php-secure-coding.ohgaki.net/doku.php/ja/rule/out/%E5%A4%96%E9%83%A8%E3%81%B8%E5%87%BA%E5%8A%9B%E3%81%99%E3%82%8B%E3%83%87%E3%83%BC%E3%82%BF%E3%81%AF%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%A7%E5%85%A8%E3%81%A6%E7%84%A1%E5%AE%B3%E5%8C%96%E3%81%99%E3%82%8B?rev=1508890837&amp;do=diff</link>
            <description>外部へ出力するデータはデフォルトで全て無害化する

安全なコードを書く為には、外部（データベース、OS、クライアントなど）へ出力するデータはデフォルトで全て無害化することが必要です。</description>
            <author>anonymous@undisclosed.example.com (Anonymous)</author>
            <pubDate>Wed, 25 Oct 2017 00:20:37 +0000</pubDate>
        </item>
    </channel>
</rss>
