アカウント名:
パスワード:
これまでのサイト攻撃は、OSの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意のある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。
入力された値のバリデーションを正しく行うことは、Secureプログラミングの基本だと思うのだが、、、
違いますよ。セキュアプログラミングの本当の基本は、入力の値がどうこうというよりも、出力部分、つまり値を使用する部分(SQLならSQL文を文字列連結して作成する部分)で、メタ文字をエスケープすること(ないし制限チェックをすること(たとえば変数をパス名として使用する部分では、使用するところで所定のディレクトリ内かをチェックする。けっして入力値のチェックではない。))です。
どういうわけか、入力をサニタイズするという場当た
電話番号の入力を要求しているのにアルファベットが来たら、チェックして正しいデータを入れてもらうようにしないと。
そんなことしなくていいよ。ウザいだけ。数字を打ち間違えた
でも表記の揺れに対応するより入力方法を制限する方が絶対に確実ですから。
検索時に東京に住んでる人すべてを検索する場合、
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
プログラムに欠陥がなくても? (スコア:2, すばらしい洞察)
Re:プログラムに欠陥がなくても? (スコア:2, 興味深い)
サニタイズ?何それ (スコア:1)
違いますよ。セキュアプログラミングの本当の基本は、入力の値がどうこうというよりも、出力部分、つまり値を使用する部分(SQLならSQL文を文字列連結して作成する部分)で、メタ文字をエスケープすること(ないし制限チェックをすること(たとえば変数をパス名として使用する部分では、使用するところで所定のディレクトリ内かをチェックする。けっして入力値のチェックではない。))です。
どういうわけか、入力をサニタイズするという場当た
Re:サニタイズ?何それ (スコア:1)
セキュリティとは違うのかもしれませんが、データを入力するユーザーが間違える可能性を考慮しないというのはまずいのではないでしょうか。たとえば電話番号の入力を要求しているのにアルファベッ
---- 6809
Re:サニタイズ?何それ (スコア:-1, フレームのもと)
そんなことしなくていいよ。ウザいだけ。数字を打ち間違えた
Re:サニタイズ?何それ (スコア:0)
別枠で入力させたくて、なおかつ入力される値が限定できる場合は select にします。
Re:サニタイズ?何それ (スコア:-1, フレームのもと)
「またヴァカが作ってるサイトだよ」と思われるだけだが。
Re:サニタイズ?何それ (スコア:0)
"東京"と入れる人と"東京都"と入れる人と"TOUKYOU"と入れる人。。。
などなど出てきますから。
検索時に東京に住んでる人すべてを検索する場合、入力を制限しないと全部に対応する必要が出てきます。
#どっちがバカか。。そういう情報が必要なサイト作ったことありますか?
Re:サニタイズ?何それ (スコア:-1, フレームのもと)
必要もないことのために顧客に不便をかけている。
「これは本当は必要ではないんではなかろうか」とか考えたこともないでしょ。まさにバカ。
Re:サニタイズ?何それ (スコア:0)
企業側では結構必要ですよ。
購買傾向分析、ダイレクトメール等など。。
ユーザー視点、企業視点両方の視点で物事が考えられないあなたがばか。
また、コンボボックスにしてるのを律儀にテキストで保存してると思ってます??
マスター化するのが一般的ですよ。
最近はついでに市区町村も
Re:サニタイズ?何それ (スコア:0)
ややこしい仕様にして工数を稼ぎ、
後々にもメンテでお金を搾り出せる作りにしておくのが
いいってことではないかと邪推しました。
#作る側の視点は考慮してないのでAC