Add this suggestion to a batch that can be applied as a single commit.
This suggestion is invalid because no changes were made to the code.
Suggestions cannot be applied while the pull request is closed.
Suggestions cannot be applied while viewing a subset of changes.
Only one suggestion per line can be applied in a batch.
Add this suggestion to a batch that can be applied as a single commit.
Applying suggestions on deleted lines is not supported.
You must change the existing code in this line in order to create a valid suggestion.
Outdated suggestions cannot be applied.
This suggestion has been applied or marked resolved.
Suggestions cannot be applied from pending reviews.
Suggestions cannot be applied on multi-line comments.
Suggestions cannot be applied while the pull request is queued to merge.
Suggestion cannot be applied right now. Please check back later.
私が対処したこと
説明
1. SQL injection対策
2. HTMLやMarkdownを許しつつXSS対策
<script>alert(document.cookie);</script>
などが実行でき、XSS攻撃が可能この対処により、HTMLやMarkdownでのメッセージ投稿を可能につつ、悪意あるスクリプトによるXSS攻撃を防ぐことができる。
composer update
が必要)3. ユーザーのパスワードをハッシュ化
4. [UI]ユーザーがログイン失敗した時の簡単なエラーの表示
### 5. GETでログイン時していた部分をPOSTでログイン - 脆弱性箇所:ユーザーログイン時 - 原因:ユーザーログイン処理をGETで行っているため、 パスワードを含むURLアクセスすることになる。 - 対処方法:POSTで処理を行う - 修正コード: 4c8f002
### 6. パスワード入力欄にはtype="password"を指定 - 脆弱性箇所:ユーザーログインのパスワード入力欄でパスワードが丸見え - 対処方法:type="password"を指定 - 修正コード: e14f19f