アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
自戒を込めて常に疑いの目を (スコア:4, 参考になる)
PHPに限らずWEBアプリっていうのは、下手をすると周りがすべて敵という環境で稼働するものです。
性悪説に基づいたコードを書く必要があるっていうこと。
PHPSCは「PHPセキュアプログラミングならここを見ろ」てなものになって欲しいと思います。
いや、今まで各所でこの類の情報はたくさん出ていますけれど。
やっぱ見ない人は、有益な情報があっても見ない罠。RTFM :p
#個人的には言語仕様として「絶対こうじゃないと駄目」てな制約が欲しい
#error_reportingが標準設定だと、まさにスパゲティにイチゴジャムをかけた状態ですし
Re:自戒を込めて常に疑いの目を (スコア:0)
見ないよ、見たら塞がなければいけないじゃないか!
それよりも、ノーガード戦法で「見つけた」と言ってきた
奴を捕まえて、法的手段に訴えてやれば、
あそこは脆弱性がいっぱいあっても法的手段に出るから
やめておこうって事になるんだよ!ザマーミロ!
#それで守れたら世話ねえよ
Re:自戒を込めて常に疑いの目を (スコア:1)
>やめておこうって事になるんだよ!ザマーミロ!
当然ながら、この場合、「やめておこう」と言ってくれないのがクラッカーなわけでして...
というわけ(?)で、
たとえば、いざそれで個人情報取られちゃったときに、
彼らの「技術的劣位」の責任を追求するようになってくれたら、
それはそれでバランスが取れるんでしょうね。
#嬉しいバランスではないですが。
Re:自戒を込めて常に疑いの目を (スコア:0)
tpop3d [ex-parrot.com]でPostgreSQLを認証に使用したPOPサーバをただ今作成中です。
で、tpop3d.confにSQL文を直接書くのですが、条件によりクエリの内容が全く変わること、
確実に入力チェックを行いたいことなどの理由により、結局tpop3dから直接クエリを発せずに
認証部分をPerlで書いてDBD::Pgを使う形に落ち着きました。
tpop3dがpg_escape_stringを呼んでるのは解っていま
Re:自戒を込めて常に疑いの目を (スコア:0)
なんか、人格ゆがみそう...
#ゴメンナサイゴメンナサイゴメンナサイゴメンナサイゴメンナサイゴメンナサイ
Re:自戒を込めて常に疑いの目を (スコア:0)
# 何か忘れたのでAC