サニタイジングとは

Tweet

サニタイジングとは、Webサイトの入力フォームへの入力データから、HTMLタグ、JavaScript、SQL文(＝SQLで書いた命令文(コマンド))などを検出し、それらを他の文字列に置き換える操作のこと。「無害化」とも呼ばれる。

Web上の掲示板など、閲覧者からの投稿内容を表示するWebサイトにおいては、投稿文の中に悪意のあるコードを入力されることにより、クロスサイトスクリプティングでサイト閲覧者が攻撃を受けてしまったり、SQLデータベースと連動したWebサイトにおいては、入力フォームからのデータによりSQLインジェクション攻撃を受け、データベースの情報が改ざんされたり、非公開の情報が流出する危険性がある。

サニタイジングにより、入力データ中を一定のルールに従ってチェックし、悪意のあるHTMLタグ、JavaScript、SQL文などが解釈・実行されることを防ぐのだ。

イッセイ：Webアプリケーションを狙った攻撃は増加しているので、Web管理者に必須の対策の一つがサニタイジングなんですね。
チエ：独立行政法人情報処理推進機構(IPA)が発表したWebサイトの「脆弱性対策のチェックポイント」にも、「ユーザーからの入力値をチェックして無害化しているか」という項目が示されているわ。