サニタイジングとは、入力されたデータに含まれる悪意のあるコードや特殊文字を無害なものに変換する処理のことです。これにより、ウェブアプリケーションにおけるクロスサイトスクリプティング(XSS)やSQLインジェクションといったサイバー攻撃を防ぐことができます。
サニタイジングの具体的な内容
- 変換: 入力された文字列のうち、HTMLタグやJavaScript、SQL文などのコードとして解釈される可能性がある部分を、単なる文字列として扱われるように別の文字列に置き換えます(例:「<」を「<」に置き換える「エスケープ処理」)。
- 無害化: 特殊文字を無効化し、プログラムの意図しない動作を防ぎます。
- 目的: XSS攻撃やSQLインジェクション攻撃からシステムを守るために、ウェブアプリケーションなどのセキュリティを高めることが目的です。
具体的な例
- XSS攻撃の例: ユーザーが掲示板に
<script>alert('XSS')</script>と入力した場合、サニタイジングによってこのコードが<script>alert('XSS')</script>と無害な文字列として表示され、実行されなくなります。 - SQLインジェクションの例: ログインフォームに
' OR '1'='1と入力された場合、サニタイジングによってこの文字列は無害化され、不正なデータベースへのアクセスを防ぐことができます。
コメント