アカウント名:
パスワード:
これまでのサイト攻撃は、OSの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意のある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。
入力された値のバリデーションを正しく行うことは、Secureプログラミングの基本だと思うのだが、、、
違いますよ。セキュアプログラミングの本当の基本は、入力の値がどうこうというよりも、出力部分、つまり値を使用する部分(SQLならSQL文を文字列連結して作成する部分)で、メタ文字をエスケープすること(ないし制限チェックをすること(たとえば変数をパス名として使用する部分では、使用するところで所定のディレクトリ内かをチェックする。けっして入力値のチェックではない。))です。
どういうわけか、入力をサニタイズするという場当た
電話番号の入力を要求しているのにアルファベットが来たら、チェックして正しいデータを入れてもらうようにしないと。
そんなことしなくていいよ。ウザいだけ。数字を打ち間違えた
でも表記の揺れに対応するより入力方法を制限する方が絶対に確実ですから。
検索時に東京に住んでる人すべてを検索する場合、
購買傾向分析、
やっぱりな。で、表記の揺れくらいのことで何か問題があるんか? 統計って言葉、知ってるか?
最近はついでに市区町村も....コンボまたはリストにするのが一般的。
俺はそういうサイトは使わないようになった。己の都合で客の都合を無視する企業だとわかるからな。なんで俺が何十もあるながったらしい市町村メ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
プログラムに欠陥がなくても? (スコア:2, すばらしい洞察)
Re:プログラムに欠陥がなくても? (スコア:2, 興味深い)
サニタイズ?何それ (スコア:1)
違いますよ。セキュアプログラミングの本当の基本は、入力の値がどうこうというよりも、出力部分、つまり値を使用する部分(SQLならSQL文を文字列連結して作成する部分)で、メタ文字をエスケープすること(ないし制限チェックをすること(たとえば変数をパス名として使用する部分では、使用するところで所定のディレクトリ内かをチェックする。けっして入力値のチェックではない。))です。
どういうわけか、入力をサニタイズするという場当た
Re:サニタイズ?何それ (スコア:1)
セキュリティとは違うのかもしれませんが、データを入力するユーザーが間違える可能性を考慮しないというのはまずいのではないでしょうか。たとえば電話番号の入力を要求しているのにアルファベッ
---- 6809
Re:サニタイズ?何それ (スコア:-1, フレームのもと)
そんなことしなくていいよ。ウザいだけ。数字を打ち間違えた
Re:サニタイズ?何それ (スコア:0)
別枠で入力させたくて、なおかつ入力される値が限定できる場合は select にします。
Re:サニタイズ?何それ (スコア:-1, フレームのもと)
「またヴァカが作ってるサイトだよ」と思われるだけだが。
Re:サニタイズ?何それ (スコア:0)
"東京"と入れる人と"東京都"と入れる人と"TOUKYOU"と入れる人。。。
などなど出てきますから。
検索時に東京に住んでる人すべてを検索する場合、入力を制限しないと全部に対応する必要が出てきます。
#どっちがバカか。。そういう情報が必要なサイト作ったことありますか?
Re:サニタイズ?何それ (スコア:-1, フレームのもと)
必要もないことのために顧客に不便をかけている。
「これは本当は必要ではないんではなかろうか」とか考えたこともないでしょ。まさにバカ。
Re:サニタイズ?何それ (スコア:0)
企業側では結構必要ですよ。
購買傾向分析、ダイレクトメール等など。。
ユーザー視点、企業視点両方の視点で物事が考えられないあなたがばか。
また、コンボボックスにしてるのを律儀にテキストで保存してると思ってます??
マスター化するのが一般的ですよ。
最近はついでに市区町村も
Re:サニタイズ?何それ (スコア:-1, フレームのもと)
やっぱりな。で、表記の揺れくらいのことで何か問題があるんか? 統計って言葉、知ってるか?
俺はそういうサイトは使わないようになった。己の都合で客の都合を無視する企業だとわかるからな。なんで俺が何十もあるながったらしい市町村メ
Re:サニタイズ?何それ (スコア:0)
統計の取り方と、それ以外に企業の目的によるってことです。
また、客先宛に請求書とか出力する必要があるところでは、市区町村合併による町名変更は放置できるわけがない。
合併した所にいるお客さんは全部自分で変更しろと?
表記の揺れ全部調べて全部変更しろと?
だから、貴方の考え方で業務がまわりますか??
リストにしている所ではコードだけで普通企業側が一括変更します。
また、コンボになってる所でも"コンボだけ"で入力は作りません。
普通郵便番号入力とかと併用します。
それに、都道府県ー>市区 のように絞り込んでいきますし、私は五十音順に並べておきますから、それほど時間はかかりません。
通常十秒以内に終わってます。
#これだから自分のせまい世界のことしか考えられないやつは。。。