PHPセキュリティ対策クイズ - プレイ中

1 第1問

PHPアプリケーションでSQLインジェクション攻撃を防ぐための最も推奨される方法はどれですか？

A addslashes()関数を使用して、すべてのユーザー入力をエスケープする。

B プリペアドステートメント（PDOまたはmysqli）を使用する。

C ユーザー入力の前にstrip_tags()関数を適用する。

D データベースのユーザー権限を制限する。

2 第2問

クロスサイトスクリプティング（XSS）攻撃からPHPアプリケーションを保護するための最も効果的な対策はどれですか？

A strip_tags()関数を使用して、HTMLタグをすべて除去する。

B htmlspecialchars()関数を使用して、ユーザー出力をエスケープする。

C urlencode()関数を使用して、URLエンコードを行う。

D クライアントサイドでJavaScriptによる入力検証を徹底する。

3 第3問

クロスサイトリクエストフォージェリ（CSRF）攻撃を防ぐための一般的なPHPのセキュリティ対策はどれですか？

A すべてのフォーム送信に$_SERVER['REQUEST_METHOD'] === 'POST'のチェックを追加する。

B フォームにCSRFトークン（ワンタイムトークン）を埋め込み、サーバー側で検証する。

C session_start()を呼び出す前にsession_regenerate_id()を実行する。

D $_SERVER['HTTP_REFERER']ヘッダーをチェックして、リクエスト元を検証する。

4 第4問

PHPでユーザーのパスワードを安全に保存するための最も推奨される方法はどれですか？

A md5()関数でハッシュ化して保存する。

B sha1()関数でハッシュ化して保存する。

C password_hash()関数を使用してハッシュ化し、password_verify()で検証する。

D パスワードを暗号化してデータベースに保存し、復号化して検証する。

5 第5問

本番環境のPHPアプリケーションにおいて、セキュリティの観点から最も推奨されるエラー報告の設定はどれですか？

A display_errors = On、error_reporting = E_ALL

B display_errors = Off、log_errors = On、error_logにファイルパスを指定

C display_errors = On、log_errors = Off

D error_reporting = 0

6 第6問

PHPでユーザーからの入力データ（例: メールアドレス、数値）を検証する際に、最も推奨される方法はどれですか？

A trim()関数で空白を除去し、stripslashes()でバックスラッシュを除去する。

B filter_var()関数を適切なフィルター（例: FILTER_VALIDATE_EMAIL）とともに使用する。

C htmlentities()関数でHTMLエンティティに変換する。

D 入力データの長さをstrlen()でチェックする。

7 第7問

セッション固定攻撃（Session Fixation）を防ぐために、ユーザーが認証に成功した直後に実行すべきPHPの関数として最も適切なものはどれですか？

A session_destroy()

B session_unset()

C session_regenerate_id()

D setcookie()

8 第8問

PHPアプリケーションを本番環境にデプロイする際、セキュリティとユーザーエクスペリエンスの観点から、php.ini設定で最も推奨されるdisplay_errorsの値はどれですか？

A On

B stderr

C Off

D 1

9 第9問

ユーザーからのファイルアップロード機能を実装する際、セキュリティ上のリスクを軽減するために最も重要な対策の一つはどれですか？

A アップロードされたファイルのパーミッションを777に設定する。

B アップロードされたファイルをすぐに実行可能なディレクトリに配置する。

C アップロードされたファイルのMIMEタイプのみを信頼してファイルの種類を判断する。

D アップロードされたファイルの拡張子をホワイトリスト形式で厳密にチェックし、保存時にランダムなファイル名に変更する。