アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
とりあえず (スコア:0)
基本的に入力時にエスケープを網羅する必要はありません。
(クラスに既知のバグは無く、サーバは適切にパッチが当てられている前提で)
結果を画面時に出すときには必要ですが。
>そもそもエスケープ処理は難しいから
という事よりも、納期延期に対してセキュリティ対策が理由にならず、
費用対効果を安く見積もられているからにすぎないと思います。
そして、開発を2つ3つ抱えた環境で、セキュアなロジックを
共通化してない人の出入り、業者の出入りが激しい現場、
低コストを求めて監査もいれず安易にオフショア丸投げの現場で起きる。
と経験からいうとそんな感じです。
本気で難しいというのは、単に向上心のないメンバーが集まって、
何も現場に蓄積する事なく去っていく所だと思います。
Re:DBマガジン9月号 (スコア:0)
脆弱性が発生するケースとか言うコラムが出ているが、
差込み元SQLの組み方というか、プリペアドステートメントの使い方を、
激しく間違えている訳で、そんな事して「脆弱性が出る場合がある」
とか抜かすレベルの人間が本を書いているんだなと。
これは歴史的資料になると思うので、買っておいて損は無いでしょうワラ
該当記事:Javaデータアクセス優先主義/松信嘉範 [seshop.com]