妥当性とは仕様の所作 - SQLインジェクション対策とバリデーション - *「ふっかつのじゅもんがちがいます。」withぬこ
繰り返しになりますが、妥当性検証は仕様の問題であってセキュリティ対策ではありません。 バリデーションは仕様の問題であってセキュリティ対策ではないとはどういうことか説明します。SQLインジェクションの対策は、1. SQLを文字列結合で作らない 2. プレースホルダを使う です。バリデーションは関係ありません。 簡単な例 Webアプリケーションで郵便番号を指定するフォームを考えましょう。 日本の郵便番号を指定するフォームの設計でよく見るものは大きく分けて2通りあり、上3桁と下4桁を別々に入力させるものと、1つのフォームにまとめて入力させるものです。住所から補完させる設計もありえますがここではおいておきます。 <input type="text" name="postal_code_1"> - <input type="text" name="postal_code_2"> <input typ
PHP 5.3.0 への移行で脆弱な Web アプリケーションが発生する? - t_komuraの日記
PHP6移行で増える脆弱なWebアプリ(yohgaki's blog) を読んで、結構気になったので、調べてみました。調べてみた結果、私には特に問題となるような箇所は見つけられませんでした。調べたことについてメモしておきます。 問題 PHP6移行で増える脆弱なWebアプリ(yohgaki's blog) で、PHP 6 への移行で脆弱な Web アプリケーションが発生すると指摘されています。その理由として、以下の2点が挙げられています。 mb_check_encodingで全ての入力文字エンコーディングが正しいかチェックしていない PHP6のhtmlentities/htmlspecialcharにはマルチバイト文字チェックコードが削除される http://blog.ohgaki.net/php6-web さらに、PHP 5.3 でも問題があると書かれています。 追記:PHP5.3のコード
学生とIT業界トップの公開対談で胸を衝かれたこと---IT産業を呪縛する“変われない日本”:ITpro
IPAのイベントで2008年5月28日に行われた学生とIT業界トップの公開対談を聞いていて,一瞬胸を衝かれた。IPA理事長で元NEC 代表取締役社長の西垣浩司氏のこの言葉を聞いたときのことだ。 コンピュータを作ることが本業ではなくなったメーカー 「数として欲しいのは,金融システムなど企業の大型システムに従事する人間。こういった領域では,個人の能力よりは業務ノウハウが重要。プログラマとして優秀であっても,業務を理解しないと,よいシステムができない。技術だけを評価して処遇することは企業としては難しい。天才プログラマのように技術を極めるのであればそれを生かす道に行くべきであって,企業に入って大型システムを開発するのはもったいないか,向いてない」(西垣氏) 必要とされているのは技術ではなく,プロジェクト・マネジメント能力や調整能力。求められているのはメーカーの人材像ではなく,ゼネコンやエンジニアリ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
