Re:サニタイズ言うな！ (#1432698) | Cookieを使用したSQLインジェクション

「Cookieを使用したSQLインジェクション」記事へのコメント

記事ページを表示すべてのコメント取得

検索33コメント Log In/Create an Account

サニタイズ言うな！ (スコア:0, 興味深い)

by Anonymous Coward

これこそ高木先生が展開していた「サニタイズ言うなキャンペーン [takagi-hiromitsu.jp]」のターゲットとなる好例ですな。GETやPOST以外からでもデータは入ってくるんだよ、ということで。

# と私は解釈しているのだが間違ってますかね。
- Re:サニタイズ言うな！ (スコア:0)
  
  by Anonymous Coward on 2008年10月06日 16時01分 (#1432698)
  
  つまり Cookie も消毒しなきゃ！ってことですね。（否
  
  jbeef たんが言いたかったのは「必要なところでエスケープしようキャンペーン」だと思ってたのだけど、
  いずれにしてもその真意を誰も理解していないという点でキャンペーンとしては失敗だったんじゃないかな。
  
  # と半可通がデレッとした顔で言ってみる
  
  シェア
  
  親コメント
  - Re:サニタイズ言うな！ (スコア:1, すばらしい洞察)
    
    by Anonymous Coward on 2008年10月06日 20時44分 (#1432903)
    
    真意も何も、「サニタイズするな」キャンペーンは有意な主張を成しておらず実質何も言ってないのと同じだと思うんですが。
    ・「必要なところ」って何？「出力する直前」という概念は本当にwell-definedか？
    ・何らエスケープされないデータがプログラム内を広く流通する(かもしれない)状況を作り出したとき、リスク増大しない根拠は？
    
    どう考えても結局データ形式の選択と管理は徹頭徹尾プログラマの責任であり、
    エスケープの有り様は要件と周辺状況に応じて適切に選択されるべきという
    分かりきった結論しか残らんとです、、
    
    「サニタイズするな」キャンペーン賛同者の大半が「誤解してるかもしれませんが、、」と恐る恐る私的解釈を述べるのも、
    キャンペーンの主張が曖昧であることの裏返しだと思う。
    
    なおプログラムの階層設計と絡めて上記キャンペーンを理解しようとしてる人もいるようですが、
    階層設計で綺麗にすれば問題解消、というのは数学的根拠に欠けた単なる経験知にすぎず、一般性に疑問符。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      君は全然判ってない。自分で思ってるほどには賢くないよ。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      > 数学的根拠に欠けた単なる経験知にすぎず
      
      ここが笑うところですか。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Cookieを使用したSQLインジェクション More ログイン

「Cookieを使用したSQLインジェクション」記事へのコメント

サニタイズ言うな！ (スコア:0, 興味深い)

Re:サニタイズ言うな！ (スコア:0)

Re:サニタイズ言うな！ (スコア:1, すばらしい洞察)

Re: (スコア:0)

Re: (スコア:0)

スラド