2005年05月25日(水) [過去の今日]
SQLインジェクションが原因とな。どういう意味なのかわからなかったので調べてみると……は? ようするにサニタイズ漏れ? はあ、 最高レベルのセキュリティ ってそういうことなんだ……。高度な攻撃とも書いてあるが……。
大きな規模になると入力のサニタイズじゃおっつかない ようだが、俺みたいなちっこいプログラムしか書かないような人間にはサニタイズは基本中の基本。それだけにあきれることこの上ないのだが、世の中にはこういうプログラムが多いのだろうなあ。で、 そのコメント では「サニタイズ」という言葉を持ち出すセキュリティ屋は信用するなとか言ってるけども、結局やってることは「出力値をサニタイズ」だよねえ。そういうふうにコメント付けておこうかな。
@ サニタイズする場所:
規模云々の問題じゃなく、入力値をサニタイズするか出力値をサニタイズするかはけっこう悩むことが多い。入力より出力の方がたくさん発生するんだから、処理を軽くするためには入力でサニタイズしたほうがいいと思うのだが、ユーザーからの入力を「改竄」したくないという思いもある。
まあ、先の ./-jのコメント をもってきて「出力値をサニタイズするのが正しいんですよ! 処理が増えるのはしょうがないんです!」と主張しておくという手もあるな。
(@013)