アカウント名:
パスワード:
■根本的解決 1)-1 SQL文の組み立てにバインド機構を利用する
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
サニタイズ言うな (スコア:4, 参考になる)
○出力データの適切なエスケープ
Re: (スコア:1, おもしろおかしい)
Re: (スコア:0)
Re: (スコア:1, おもしろおかしい)
夏だし。
Re: (スコア:1, おもしろおかしい)
「安全なウェブサイトの作り方」読めって (スコア:1)
「RDBMSに」「SQLを」「出力するとき」の話だよ。
Re: (スコア:0)
Re: (スコア:0)
「evalしてくれるインタプリタに」
「危険なソースになっちゃってるかも知れない文字列を」
「出力するとき」
の話なんだよな。
ところで高木氏のこの文章が興味深いです。
http://takagi-hiromitsu.jp/diary/20051227.html#p03 [takagi-hiromitsu.jp]
>そもそも、ASPから始まって、JSP、PHP、ERBと受け継がれてきた、 HTML中にプログラムを埋め込むというこの仕組みが、最初からデフォルトでエスケープされるように作られていたらよかったのに
Re:「安全なウェブサイトの作り方」読めって (スコア:1, すばらしい洞察)
Re:「安全なウェブサイトの作り方」読めって (スコア:1, 興味深い)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)