うーん、真剣に困っています。
FTPのアクセスログに残って無いって事はXSSなんだろうけど、どうやって防いだら良いやら...
$escape_char = array("/", "=", ";", "\\");
htmlspecialchars( str_replace($escape_char, "", $_POST['foo']), ENT_QUOTES )
なるコードを書いて、不正入力はある程度ガードできているはず。
また、正常な経路を通らずに直にPHPを呼び出された時の対策として
if( !array_key_exists( 'foo', $_SESSION ))
{
die( "INVALID ACCESS" );
}
なるコードも入れている。
それでも不正アクセスはまだ続く。不正アクセスに対する完全な防御策に関する知識の全てを残念ながら僕は持ち合わせていない。
これ以上、続くようなら外部の専門家に委託する必要が出てくるかもしれない。
コメントする