Web サーバ - ホスティングサービスを選ぶ際のポイント
もし Web システムの開発環境をホスティングサービスで用意する場合は次のリストにあるチェックポイントに注目してください。
- Web サーバはどのユーザの権限で動くのか?
自分以外のユーザで動作する場合はパーミッションの設定(後述)が必要です。 - CGI はどのユーザの権限で動くのか?
自分以外のユーザで動作する場合はパーミッションの設定が必要です。契約者のユーザ権限での動作が理想です。 - データベースの容量に上限があるか?
たいていの場合(常識の範囲内で)無制限ですが、 Web サイトの容量を消費する場合があります。(常識の範囲内で)無制限が理想です。 - sendmail は使用できるか?
Web システムからメール送信する場合は sendmail が使用できると情報を得やすくなります。
以下は PHP を利用する場合です。
- register_globals は OFF になっているか?
OFF が理想です。もし ON の場合は .htaccess で OFF にできるか確認します。それでも OFF にできない場合はXSS の危険性を把握した上で開発を進めます。 - magic_quotes_gpc は OFF になっているか?
OFF が理想です。もし ON の場合は .htaccess で OFF にできるか確認します。それでも OFF にできない場合はXSS の危険性を把握した上で開発を進めます。
パーミッションの設定
多くのホスティングサービスではパーミッションという、ファイルやディレクトリに対して「誰がどれだけの操作ができるか?」を意味する数値があります。もし Web サーバや CGI によって動作するプログラムが、契約者(あなた)のディレクトリにあるファイルを書き換えたりする場合、「このファイルは他人が書き換えてもよし」と契約者(あなた)が印をつける必要があります。もし印が無い場合はエラーとなります。
くわしくはとほほのWWW入門等のサイトを参照にしてください。
register_globals = ON の危険性
PHP の設定である register_globals が ON の場合、 XSS というセキュリティ上の欠陥ができる可能性があります。この設定は OFF にしたくてもできない場合があります。具体的には .htaccess に PHP のディレクティブ(設定)を指定できない場合 OFF にできません。やむなく ON で開発する場合は XSS に注意してください。
XSS については Wikipedia 等を参照してください。
magic_quotes = ON の危険性
厳密には危険ではないのですが、 PHP の設定である magic_quotes が ON の場合、 HTTP リクエストに際して特定の文字が2倍に増殖します。たとえば \ がそれに当たり、送信するたびに \\ , \\\\, \\\\\\\\ と増えていきます。これは PHP のセキュリティ上の措置なのですが、セキュリティはもっと別の方法で向上させるべきですので OFF であることが理想です。
register_globals と同様に Wikipedia を参照してください。
« 「必要な環境(サーバ側) - データベース」へ | トップへ | 上の階層へ | 「必要な環境(クライアント側)」へ »
