資料請求リストに製品が追加されていません。


IT製品の比較サイト|ITトレンド
ITトレンドNo.1ヘッダー

資料請求リスト

0件
  • ホーム
  • 製品を探す
  • ランキングから探す
  • 記事を読む
  • はじめての方へ
  • 掲載について
  • ITトレンドEXPO
  1. IT製品 比較TOP
  2. ネットワークセキュリティ
  3. サイバー攻撃対策製品
  4. サイバー攻撃対策製品の関連記事一覧
  5. サニタイジングとは?概要から実施方法を簡単に分かりやすく解説!

サニタイジングとは?概要から実施方法を簡単に分かりやすく解説!

#ネットワークセキュリティ
2023年01月17日 最終更新
サイバー攻撃対策製品の製品一覧
Twitterでツイートする
Facebookでシェアする
Pocketで後で読む
ITトレンド 編集部
IT製品の比較サイト
ITトレンド 編集部
サニタイジングとは?概要から実施方法を簡単に分かりやすく解説!

サニタイジングとは、Webアプリケーションにおけるセキュリティ対策の1つです。SNSや掲示板から投稿された文字列に含まれる有害な文字・文字列を検知して無害化することをいいます。

この記事では、サニタイジングの概要から必要性、実施方法まで解説します。自社の情報を守る参考にしてください。

サイバー攻撃対策製品人気ランキング | 今週のランキング第1位は?

サニタイジングとは

サニタイジングは、掲示板やSNSなどの入力フォームの内容をチェックして、含まれる有害な文字・文字列を検知し、無害化することです。有害な文字・文字列としてはHTMLタグやjavascript、SQLコードなどがあります。元々の英語としては「sanitizing=消毒、衛生的にすること」を意味します。

無害化する手段はいくつかあります。そのうち代表的なのが、文字・文字列を元の表記と同じ意味を持つ別の表記に置き換えるエスケープ処理です。エスケープによる対処が難しい場合は、対象のプログラムを削除することもあります。

たとえば、HTMLタグ<br>の「<」「>」の部分をそれぞれ「&lt;」「&gt;」にエスケープすると、「&lt;br&gt;」となります。こうすることで、受け取ったデータがWebアプリケーションにとって意味を持つ<br>であっても、特別な意味を持たない単なる文字列として取り扱えるようになります。

サニタイジングの必要性

サニタイジングはXSS(クロスサイトスクリプティング)対策として有効です。XSSはサイバー攻撃の1つで、Webサイト上の入力フォームに不正なプログラムを仕掛けることで成立します。

XSSの脅威の例としては以下のものがあります。

  • ■セッションハイジャック
  • ■個人情報の不正取得
  • ■フィッシング詐欺

たとえば、攻撃者はSNSや掲示板などの動的サイトに悪意あるプログラムを仕掛け、ユーザーを偽サイトに誘導することが可能です。そこでユーザーにログインID・パスワードなどを入力させ、不正に取得できます。

しかし、サニタイジングをすれば攻撃者によって仕掛けられたプログラムを無害な文字・文字列に置き換えられ、被害を防げます。

サニタイジングの実施方法

サニタイジングはHTML生成時のタイミングで実施します。その方法を3つ見ていきましょう。

JavaScriptでオリジナルの関数を使う

JavaScriptにはサニタイジング用の関数はありません。しかし、独自に文字列を置換する関数を定義してサニタイジングを実施することは可能です。

以下に例を示します。

function htmlentities(str){
  return String(str).replace(/&/g,"&amp;")
    .replace(/</g,"&lt;")
    .replace(/>/g,"&gt;")
    .replace(/"/g,"&quot;")
}

replace(/〇/g,"◆")は、「〇を◆に置き換える」ことを意味します。

上記の関数 htmlentitiesにより「&→&amp;」「&lt;→<」「&gt;→>」「&"→"」という置き換えが行われます。この置換により、入力文字列strをHTMLとしては意味のない文字・文字列に変換します。

PHPでhtmlspecialchars関数を使う

PHPには、あらかじめサニタイジングに使えるhtmlspecialchars関数が用意されています。

htmlspecialchars($str, ENT_QUOTES, ‘UTF-8′);

これを利用するだけでサニタイジングが実現します。そのため、前述したJavaScriptとは違い、独自に置換関数を定義する必要はありません。

ちなみに、上記の関数における引数はそれぞれ以下の役割を果たします。

$str
この部分に入力された文字列を設定します。
ENT_QUOTES
サニタイジングのルールで、基本的には「ENT_QUOTES」が使われます。これは「<」や「>」「'」「"」を置換するルールです。
‘UTF-8′
サニタイジングされた文字列の文字コードを指定します。

SQLでプリペアードステートメントを行う

SQLではプリペアードステートメントを利用することでサニタイジングを実施できます。プリペアードステートメントは、「SQL実行前にSQL文をコンパイルしておき、実行時にパラメータ変数に値を当てはめる」ような動作をします。

例を1つ見てみましょう。

$stmt = $dbh->prepare('SELECT * FROM users WHERE name = :name');

プリペアードステートメントでは上記のようにprepare()を使います。括弧の中にSQL文を入れると、それがあらかじめ準備(プリペアー)された文章となります。

しかし、この時点ではまだ括弧内のSQL文は完成していません。末尾に「:name」とありますが、これは具体的なデータではなく仮の固定値だからです。実行時に、この部分に具体的なデータが入ることで、初めてSQL文が完成します。

この仕組みを利用すれば、想定しないSQL文が実行され、データベースを不正操作されることを防止できます。

サニタイジングをしてセキュリティを向上させよう!

サニタイジングとは、SNSや掲示板の入力フォームの内容をチェックして、含まれる有害文字・文字列を検知し、無害化することです。その方法として、特定の文字・文字列を別のものに置き換えるエスケープが使われます。

サニタイジングにより、有害な文字・文字列としてはHTMLタグやjavascript、SQLコードを実行してしまうリスクを回避できます。

適切にサニタイジングを行い、セキュリティレベルを高めましょう。

サイバー攻撃対策製品人気ランキング | 今週のランキング第1位は?
この記事を読んだ人は、こちらも参考にしています
最新ビジネス書を手軽に学べる
著者出演の動画メディア
電球
仕事で活かせるビジネスノウハウが
動画で学べる
電球
たった10分で学べるビジネス書の
動画解説が見放題
チラヨミロゴ bizplay動画ページリンク
動画を見てみる arrow
こちらもおすすめ!
サイバー攻撃対策 選び方ガイド
電球 製品を選ぶときのポイントがわかる!
電球 どんな企業が導入すべきかがわかる!
お役立ち資料ダウンロード
選び方ガイドのダウンロードはこちら arrow

このコンテンツの執筆者

ITトレンド 編集部
IT製品の比較サイト
勤怠管理・就業管理
プロジェクト管理
会計ソフト
経歴・実績
ITトレンドはイノベーションが2007年より運営している法人向けIT製品の比較・資料請求サイトであり、2020年3月時点で、累計訪問者数2,000万人以上、1,300製品以上を掲載しています。サイトを閲覧し利用する企業内個人であるユーザーは、掲載されている製品情報や口コミレビューなどを参考に、自社の課題に適したIT製品を複数の製品・会社から比較検討ができ、その場で資料請求が一括でできるサイトです。
ITトレンド 編集部

このカテゴリーに関連する記事

入口・内部・出口対策で必要なサイバー攻撃対策とは?

入口・内部・出口対策で必要なサイバー攻撃対策とは?

zipファイルにパスワードを設定する方法は?忘れたときの対処法も

zipファイルにパスワードを設定する方法は?忘れたときの対処法も

プロキシとは?主なメリットやデメリット、注意点から種類まで徹底解説!

プロキシとは?主なメリットやデメリット、注意点から種類まで徹底解説!

エクセルにパスワードを設定するには?忘れたときの対処法もご紹介

エクセルにパスワードを設定するには?忘れたときの対処法もご紹介

サイバー犯罪の事例を紹介!被害を受けないための対策方法も解説

サイバー犯罪の事例を紹介!被害を受けないための対策方法も解説

DNSサーバ攻撃とは?DNSの基本や攻撃の被害・対策まで解説!

DNSサーバ攻撃とは?DNSの基本や攻撃の被害・対策まで解説!

【3分でわかる】ISMSとは?取得方法やメリットを簡単に解説

【3分でわかる】ISMSとは?取得方法やメリットを簡単に解説

ワードにパスワードをかける方法とは?解除や忘れたときの対処法も紹介

ワードにパスワードをかける方法とは?解除や忘れたときの対処法も紹介

ワンクリック詐欺とは?事例や対処法をわかりやすく解説

ワンクリック詐欺とは?事例や対処法をわかりやすく解説

アドウェアとは?被害や対策をわかりやすく解説!

アドウェアとは?被害や対策をわかりやすく解説!

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「サニタイジングとは?概要から実施方法を簡単に分かりやすく解説!」というテーマについて解説しています。サイバー攻撃対策の製品導入を検討をしている企業様は、ぜひ参考にしてください。

お役立ち資料ダウンロード こちらをクリック
サイバー攻撃対策
基本情報から選ぶ時のポイント、ITトレンドおすすめの製品情報をまとめてご紹介します。
カテゴリー関連製品・サービス
株式会社サイバーセキュリティクラウド
攻撃遮断くん
株式会社サイバーセキュリティクラウド
☆☆☆☆☆ ★★★★★
4.2 18件
Capy株式会社
Capy CAPTCHA
Capy株式会社
☆☆☆☆☆ ★★★★★
4.0 1件
キヤノンマーケティングジャパン株式会社
ESET PROTECT MDR
キヤノンマーケティングジャパン株式会社
☆☆☆☆☆ ★★★★★
4.0 3件
Sky株式会社
クライアント運用管理ソフトSKYSEA Client View
Sky株式会社
☆☆☆☆☆ ★★★★★
4.0 528件
Absolute Software株式会社
Absolute Secure Access
Absolute Software株式会社
☆☆☆☆☆ ★★★★★
0.0 0件
大興電子通信株式会社
AppGuard
大興電子通信株式会社
☆☆☆☆☆ ★★★★★
4.5 14件
株式会社日立システムズ
株式会社日立システムズの脆弱性診断サービス
株式会社日立システムズ
☆☆☆☆☆ ★★★★★
0.0 0件
大興電子通信株式会社
AppGuard Small Business Edition (SBE)
大興電子通信株式会社
☆☆☆☆☆ ★★★★★
0.0 0件
株式会社アズジェント
Votiro Secure File Gateway
株式会社アズジェント
☆☆☆☆☆ ★★★★★
0.0 0件
Absolute Software株式会社
Absolute Secure Endpoint
Absolute Software株式会社
☆☆☆☆☆ ★★★★★
0.0 0件
株式会社東計電算 / Toukei (Thailand) Co., Ltd.
Total Security Function Service
株式会社東計電算 / Toukei (Thailand) Co., Ltd.
☆☆☆☆☆ ★★★★★
5.0 1件
株式会社ディアイティ
KnowBe4
株式会社ディアイティ
☆☆☆☆☆ ★★★★★
2.0 1件
Broadcom Inc.
Symantec Endpoint Security
Broadcom Inc.
☆☆☆☆☆ ★★★★★
4.0 17件
バルテス株式会社
PrimeWAF
バルテス株式会社
☆☆☆☆☆ ★★★★★
4.0 1件
株式会社 モニタラップ
AIONCLOUD
株式会社 モニタラップ
☆☆☆☆☆ ★★★★★
5.0 2件
サイバーソリューションズ株式会社
CYBERMAIL Σ ST
サイバーソリューションズ株式会社
☆☆☆☆☆ ★★★★★
3.0 2件
株式会社ジャパンコンピューターサービス
<SOPHOS>Intercept X
株式会社ジャパンコンピューターサービス
☆☆☆☆☆ ★★★★★
4.0 1件
Broadcom Inc.
Symantec Endpoint Protection
Broadcom Inc.
☆☆☆☆☆ ★★★★★
3.9 14件
株式会社アイロバ
BLUE Sphere
株式会社アイロバ
☆☆☆☆☆ ★★★★★
4.9 13件
ペンタセキュリティシステムズ株式会社
Cloudbric WAF+
ペンタセキュリティシステムズ株式会社
☆☆☆☆☆ ★★★★★
5.0 1件
バルテス株式会社
バルテス株式会社の脆弱性診断サービス
バルテス株式会社
☆☆☆☆☆ ★★★★★
0.0 0件
株式会社NSD
Sophos Central Intercept X
株式会社NSD
☆☆☆☆☆ ★★★★★
0.0 0件
カテゴリー資料請求ランキング
5月29日(月) 更新
第1位
  • 【サイバー攻撃対策を支援】クライアント運用管理ソフトSKYSEA Client View
  • Sky株式会社
第2位
  • ESET PROTECT MDR
  • キヤノンマーケティングジャパン株式会社
第3位
  • WAFを超えた5in1クラウド型WAF「Cloudbric WAF+」 Cloudbric WAF+
  • ペンタセキュリティシステムズ株式会社
4位以下のランキングはこちら
ログイン ログイン
新規会員登録 新規会員登録
ITトレンドへの製品掲載・広告出稿はこちらから
レビュー用バナー
新着記事
  • リバースエンジニアリングは違法?法律上の注意点を解説!
    リバースエンジニアリングとはどのようなものなの...
  • サイバー攻撃対策ツールの選び方とは?3つのポイントから解説
    昨今インターネットはこれまで以上に我々にとって...
  • DNSサーバ攻撃とは?DNSの基本や攻撃の被害・対策まで解説!
    昨今DNSを悪用したセキュリティ攻撃が後を絶ちませ...
  • 企業を狙う標的型攻撃の種類とは?リスクと対策も!
    インターネットは今日、ビジネスに不可欠な存在と...
  • 警戒すべきランサムウェアとは?手口から対策まで!
    ランサムウェア(Ransomware)は、侵入することでP...
  • サイバー攻撃者のタイプとは?サイバー攻撃の手口・対策など解説
    この記事ではサイバー攻撃者の種類・目的・手口・...
  • 不正送金させるバンキングマルウェアとは?手口、対策・被害状況まで
    インターネットバンキングを攻撃する「バンキング...
  • 多層防御とは?多重防御との違いやシステム構築のポイントも紹介!
    増加するセキュリティ上の脅威には多層防御が必要...
  • 【2023年版】サイバー攻撃対策ツール31選徹底比較!選定ポイントも紹介
    この記事では、おすすめサイバー攻撃対策ツールに...
  • 【3分でわかる】ISMSとは?取得方法やメリットを簡単に解説
    ISMS(Information Security Management System)...
ページトップへ
ITトレンドについて
ITトレンドとは|
ご利用規約|
レビューガイドライン|
プライバシーポリシー|
クッキーポリシー|
運営会社|
サイトマップ|
お問い合わせ
IT製品を探す
製品を探す |
ランキングから探す |
専門家一覧
IT製品を知る
用語集
IT製品を掲載する
掲載について
関連サービス・サイト
List Finder |
Urumo! |
チラヨミ |
Sales Doc |
Matchup

Copyright (C) 2023 IT Trend All Rights Reserved.

サイバー攻撃対策製品の製品をまとめて資料請求
0件の製品が資料請求リストにあります。
資料請求リストをリセットします。
よろしいですか?