アカウント名:
パスワード:
本家のスレッド読むと、serialize/deserializeをコマンドラインから直接たたかない限りだ大丈夫とか、入力サニタイズすればいいだけとか言ってるように見えるんだけど、実際どうなん?
コード立証ページも、立証というより放置されたことへの腹いせ感情論な感じがするし。そりゃApache Commonは使ってるところ多いだろうけどさ。
サニタイズ言うてもシリアライズされたオブジェクトを事前検証するって難儀な話ですわなserializer/deserializerやreflectionって怖いことやってるのに何か気楽に使われるよなぁ…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
これどうなん (スコア:1)
本家のスレッド読むと、serialize/deserializeをコマンドラインから直接たたかない限りだ大丈夫とか、入力サニタイズすればいいだけとか言ってるように見えるんだけど、実際どうなん?
コード立証ページも、立証というより放置されたことへの腹いせ感情論な感じがするし。
そりゃApache Commonは使ってるところ多いだろうけどさ。
Re:これどうなん (スコア:1)
サニタイズ言うてもシリアライズされたオブジェクトを事前検証するって難儀な話ですわな
serializer/deserializerやreflectionって怖いことやってるのに何か気楽に使われるよなぁ…