パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Cookieを使用したSQLインジェクション」記事へのコメント

  • by Anonymous Coward
    これこそ高木先生が展開していた「サニタイズ言うなキャンペーン [takagi-hiromitsu.jp]」のターゲットとなる好例ですな。GETやPOST以外からでもデータは入ってくるんだよ、ということで。

    # と私は解釈しているのだが間違ってますかね。
    • by Anonymous Coward
      つまり Cookie も消毒しなきゃ!ってことですね。(否

      jbeef たんが言いたかったのは「必要なところでエスケープしようキャンペーン」だと思ってたのだけど、
      いずれにしてもその真意を誰も理解していないという点でキャンペーンとしては失敗だったんじゃないかな。

      # と半可通がデレッとした顔で言ってみる
      • Re:サニタイズ言うな! (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2008年10月06日 20時44分 (#1432903)
        真意も何も、「サニタイズするな」キャンペーンは有意な主張を成しておらず実質何も言ってないのと同じだと思うんですが。
        ・「必要なところ」って何?「出力する直前」という概念は本当にwell-definedか?
        ・何らエスケープされないデータがプログラム内を広く流通する(かもしれない)状況を作り出したとき、リスク増大しない根拠は?

        どう考えても結局データ形式の選択と管理は徹頭徹尾プログラマの責任であり、
        エスケープの有り様は要件と周辺状況に応じて適切に選択されるべきという
        分かりきった結論しか残らんとです、、

        「サニタイズするな」キャンペーン賛同者の大半が「誤解してるかもしれませんが、、」と恐る恐る私的解釈を述べるのも、
        キャンペーンの主張が曖昧であることの裏返しだと思う。

        なおプログラムの階層設計と絡めて上記キャンペーンを理解しようとしてる人もいるようですが、
        階層設計で綺麗にすれば問題解消、というのは数学的根拠に欠けた単なる経験知にすぎず、一般性に疑問符。
        親コメント
        • by Anonymous Coward
          君は全然判ってない。自分で思ってるほどには賢くないよ。
        • by Anonymous Coward
          > 数学的根拠に欠けた単なる経験知にすぎず

          ここが笑うところですか。

日々是ハック也 -- あるハードコアバイナリアン

処理中...