パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Web制作者の常識、開発エンジニアの常識」記事へのコメント

  • 複数でやるなら、全員が理解する(理解させる)のは、効率的ではないし、正直無理というのが実感。

    どうせセキュリティの不具合って
    ・無理な遷移やデザインの都合を優先しろと言われた
    ・当初の話には一言もなかった機能をリリース間近に要求される
    ・どうでもいい機能と開発側が勝手に思い込む
    ・本当に知らない(理解力が残念な開発者)
    とかでしょ。

    よく分かっている人たちだけで、フレームワーク独自で作るか
    SpringとかMojaviとかCatalystとかrailsとかカスタマイズして、フレームワークレベルでSQLインジェクションやXSSは対処すべきだと思う。

    それで、ある程度分かっている人たちで、そのベースフレームワークをプロジェクト用に直して、分からない人た
    • by Anonymous Coward on 2006年07月26日 17時42分 (#985205)
      今度はサニタイズ言うなキャンペーンなんてやってるんですか。
      なになに、出力段階で特殊文字はエスケープすることが本来の意図であり、サニタイズという言葉はCGI入力を無害化すれば対策になると勘違いさせるからよろしくない。

      …いや、サニタイズは「外部入力の文字は全て安全でないとみなし、安全な文字だけを出力するようにする」方法論では。
      昔から CGI 出力のエスケープをどうやるかやり方はいくつかあって、そのうちのひとつ。これはHTMLのレイアウトとコンポーネントを分離し、プログラム小部分ではその部分のviewになるHTML部品を文字列で作成。最後にレイアウトマネージャが各部品文字列をそのまま出力するようなタイプのCGIで便利なやり方で、コンポーネント指向好きに愛用されていた。
      特に Perl の taint 機能と併用すると漏れがなくなる。というか taint はこのやり方のために導入されたわけだし。

      サニタイズすれば対策になるという説明をやめようという趣旨はいいけど、出力時にエスケープするのが本質であるというのは首をかしげるな。
      親コメント
      • >今度はサニタイズ言うなキャンペーンなんてやってるんですか。

        半年以上前の話に「今度は~やってるんですか」とか言われても
        困ると思います。
        親コメント
      • 高木氏は内部からも文字列も信頼しないという立場だったはず。

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...