アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
全員覚えるのは、無理! (スコア:5, すばらしい洞察)
どうせセキュリティの不具合って
・無理な遷移やデザインの都合を優先しろと言われた
・当初の話には一言もなかった機能をリリース間近に要求される
・どうでもいい機能と開発側が勝手に思い込む
・本当に知らない(理解力が残念な開発者)
とかでしょ。
よく分かっている人たちだけで、フレームワーク独自で作るか
SpringとかMojaviとかCatalystとかrailsとかカスタマイズして、フレームワークレベルでSQLインジェクションやXSSは対処すべきだと思う。
それで、ある程度分かっている人たちで、そのベースフレームワークをプロジェクト用に直して、分からない人た
Re:全員覚えるのは、無理! (スコア:1)
もちろん開発標準とかの中で指示はするけど、信用はしない。
むしろ、テスト項目として挙げない(もしくはすり抜けてしまう)事の方が
理解不可能です。
--- (´-`)。oO(平和な日常は私を鈍くする) ---
Re:全員覚えるのは、無理! (スコア:0)
Re:全員覚えるのは、無理! (スコア:1)
「正しくないSQLインジェクション対策」で、一見するとSQLインジェクション対策がなされているかのように
テストをすり抜ける可能性があります。(テスト内容にもよる)
もちろんテストは必要ですが、それは最後の砦であって、脆弱性についての対策はもっと別の部分でなされる
べきでしょう。
# 脆弱性有無のチェックには、テスト駆動開発の手法はそぐわないのではないかと密かに思ったり。
つうことで、元コメント(#985044 [slashdot.jp])の趣旨にほぼ賛成。