# データベース授業最終発表用資料 ## 各種機能の解説 /home  ポリシーとかのせるところ /teachers  教員の一覧が見れる。各先生方のホームページへのリンクと、写真を挿入することもできる。 /curricula  各分野ごとの授業などを閲覧することができる。 /laboratories  各先生方の研究室の説明などが書かれている。 各先生の研究室HPへのリンクなども対応可能。 /admissions  受験生へ向けたメッセージが書かれている。 /students  学生に向けたメッセージが書かれている。 /faq  質問などこちら、対応はメールで行うことができる。 /news  学校のニュースを入れられる。 ## APIの使い方 検証ツールへのアクセス apitest/password_setting/iremasuyo/teachers apitest/password_setting/iremasuyo/laboratories apitest/password_setting/iremasuyo/curricula apitest/password_setting/iremasuyo/fields apitest/password_setting/iremasuyo/faqs apitest/password_setting/iremasuyo/newses 各APIに対して、アクセスすることが可能、 データの挿入、削除、変更、検索が行える。 実際の環境では、削除、変更、挿入において、さらにパスワードを要求することになり、これらのページに対しては、ローカルからのみアクセスできるような仕様になる予定です。 これらのURLは、DBの各テーブルに対応しており、RESTfulAPIを採用している。 こちらは、このAPI検証ツールのページにアクセスを行わなくても、POSTMANなどを用いて、挿入などを行うことができる。   ## 各種脆弱性の対策 XSS、SQLインジェクション、CSRF、ディレクトリトラバーサルと言った 主要な脆弱性に対しての対策は既に行ってある。 XSS (ページ上で任意のスクリプトが実行可能になる脆弱性) 対応策:入力値をサニタイズ(消毒) SQLインジェクション (任意のSQL文を実行できるようになってしまう脆弱性) 対応策:入力値をサニタイズ(消毒) CSRF (不正なリクエストを実行させる脆弱性) 対応策:RESTfulAPI以外にCSRFトークンを設定 ディレクトリトラバーサル (webサーバ内にある、任意のファイルを閲覧することができる脆弱性) 対応策:URLのルートを設定するファイルを記述済みである。