タグ

goodに関するockeghemのブックマーク (3)

  • 妥当性とは仕様の所作 - SQLインジェクション対策とバリデーション - *「ふっかつのじゅもんがちがいます。」withぬこ

    繰り返しになりますが、妥当性検証は仕様の問題であってセキュリティ対策ではありません。 バリデーションは仕様の問題であってセキュリティ対策ではないとはどういうことか説明します。SQLインジェクションの対策は、1. SQLを文字列結合で作らない 2. プレースホルダを使う です。バリデーションは関係ありません。 簡単な例 Webアプリケーションで郵便番号を指定するフォームを考えましょう。 日郵便番号を指定するフォームの設計でよく見るものは大きく分けて2通りあり、上3桁と下4桁を別々に入力させるものと、1つのフォームにまとめて入力させるものです。住所から補完させる設計もありえますがここではおいておきます。 <input type="text" name="postal_code_1"> - <input type="text" name="postal_code_2"> <input typ

    妥当性とは仕様の所作 - SQLインジェクション対策とバリデーション - *「ふっかつのじゅもんがちがいます。」withぬこ
    ockeghem
    ockeghem 2011/12/01
    説得力ありますね~>『何をもって妥当とするかは仕様が定めるものであり、従って仕様がなければ妥当性を論じることはできません』
  • PHP 5.3.0 への移行で脆弱な Web アプリケーションが発生する? - t_komuraの日記

    PHP6移行で増える脆弱なWebアプリ(yohgaki's blog) を読んで、結構気になったので、調べてみました。調べてみた結果、私には特に問題となるような箇所は見つけられませんでした。調べたことについてメモしておきます。 問題 PHP6移行で増える脆弱なWebアプリ(yohgaki's blog) で、PHP 6 への移行で脆弱な Web アプリケーションが発生すると指摘されています。その理由として、以下の2点が挙げられています。 mb_check_encodingで全ての入力文字エンコーディングが正しいかチェックしていない PHP6のhtmlentities/htmlspecialcharにはマルチバイト文字チェックコードが削除される http://blog.ohgaki.net/php6-web さらに、PHP 5.3 でも問題があると書かれています。 追記:PHP5.3のコード

    PHP 5.3.0 への移行で脆弱な Web アプリケーションが発生する? - t_komuraの日記
    ockeghem
    ockeghem 2009/07/20
    『私が調べた範囲では、htmlentities()/htmlspecialchars() の関連で PHP 5.3.0 より前のバージョンで、脆弱でなかった PHP スクリプトが PHP 5.3.0 以降にバージョンアップすると脆弱になるような問題は見つかりませんでした』
  • 学生とIT業界トップの公開対談で胸を衝かれたこと---IT産業を呪縛する“変われない日本”:ITpro

    IPAのイベントで2008年5月28日に行われた学生とIT業界トップの公開対談を聞いていて,一瞬胸を衝かれた。IPA理事長で元NEC 代表取締役社長の西垣浩司氏のこの言葉を聞いたときのことだ。 コンピュータを作ることが業ではなくなったメーカー 「数として欲しいのは,金融システムなど企業の大型システムに従事する人間。こういった領域では,個人の能力よりは業務ノウハウが重要。プログラマとして優秀であっても,業務を理解しないと,よいシステムができない。技術だけを評価して処遇することは企業としては難しい。天才プログラマのように技術を極めるのであればそれを生かす道に行くべきであって,企業に入って大型システムを開発するのはもったいないか,向いてない」(西垣氏) 必要とされているのは技術ではなく,プロジェクト・マネジメント能力や調整能力。求められているのはメーカーの人材像ではなく,ゼネコンやエンジニア

    学生とIT業界トップの公開対談で胸を衝かれたこと---IT産業を呪縛する“変われない日本”:ITpro
  • 1