そこで、僭越ながら、「サニタイズ言うなキャンペーン」について、 私なりの解釈を書いてみようと思う。 もっともこれが正解であるという保証はないのだが、 間違っていたらどなたかツッコミいただけることを期待しています(_o_) そもそも何のせいで「エスケープ」しなければならないのか たとえば住所氏名を登録させるWebアプリケーションは珍しいものではないと思う。 ...
■ この情報のコメント・メモ ■
勉強になる [ funineko ]
相手の都合は、入力する直前に合わせればOK [ todogzm ]
その通りです。(あ、前橋さんか。やはり本物のプログラマは違いますね。)攻撃方法を示せるだけの似非プログラマな自己目的化したセキュリティ屋は<s>しねばいいのに</s>己の無知を知ればいいのにですよ。 [ HiromitsuTakagi ]
だれの都合?って表現はわかりやすくていい。レイヤを分けて汚い処理を隠蔽することについても事例豊富でわかりやすく説明されている。セキュリティ対策そのものについては簡潔に書いてる。 [ lockcole ]
思考の土台としてはいい感じ。そうすると本質的に「サニタイズ」なんて概念は存在しないことになるのかな。 [ ryochin ]
非常にわかりやすい解説 [ ukky3 ]
>>HTMLでエスケープしなければならない文字を(デフォルトでは)入力の段階で弾いてしまうASP.NET<<メールアドレスに+が付いてると登録できないフォームはこれが原因なのかしら… [ nyomonyomo ]
高木さんブ経由。わかりやすい。そりゃそうだ→「D/Bに登録する際にはSQLの構文上の都合からシングルクォートはエスケープしなければならないかもしれないし」 [ messiquo ]
サニタイズという発想が間違っている理由の説明。そもそもバグであること。 [ auto_ptr ]
これは頭にスッと入る解説だ。元がそうならないのはうちがツンツンしてるのが苦手ってとこなのかも。 [ p-4 ]
分かり易い [ pmakino ]
やっぱ$main4sqlとか$main4htmlとか [ denken ]
ヒッジョーに分かりやすいです。 [ tripleshot ]
高木浩光氏の「サニタイズ言うなキャンペーン」の本質を分かり易く。『汚い部分はできるだけ狭い範囲に押し込める』という基本に従えばOK。 [ wacky ]
わかりやすくいいこと書いてるとおもう。 [ department21 ]
これは非常によい解説だなあ。 [ sshi ]
とてもわかる。メタ文字を変換するのはセキュリティ以前に必要な処理。汚いものは狭い範囲に押し込める [ ymorimo ]
わかりやすい。 [ hiromark ]
サニタイジングについてのわかりやすい解説。 [ xondhi ]
理解できてない人は設計センスがないと思う。というか、PHP畑にはどうしてそういう人が多いんだろう…? [ send ]
security [ webmarksjp ]
PHP [ kameris ]
非常に分かりやすい。とりあえず、Web開発者は自分が誤解していないか一度は目を通して欲しいものです。 [ NOV1975 ]
もともとの主張を少し細かく説明。分かりやすい/もともとの主張でも分かると思うんだけど、そうでもないのかねぇ [ cubed-l ]
図がわかりやすい。出力の直前でエスケープ。viad:id:textfile:20061201:sanitize [ vkgtaro ]
viaid:textfile [ as365n2 ]
キャンペーン名が直感的にわかりにくかったってのはあるな [ suVene ]
と言うか,今のWebAppFrameworkってあり得ない設計の物が普通に使われているんですね.怖い怖い [ tell ]
わかりやすい解説。 [ stealthinu ]
エスケープのことなど [ iso001 ]
わかりやすい [ takatoh ]
ブクマコメントも [ oto-oto-oto ]
あとで。 [ reima ]
非常に理解しやすいと思いました。 [ wdc ]
汚い部分はできるだけ狭い範囲に押し込めるのがプログラミングの常道 [ hiro_y ]
ふむふむ [ harumomo2006 ]
「サニタイズ言うなキャンペーン」私の解釈:正常系として任意の入力に対して正しく動作するプログラミングをしていれば、普通に解決するはず:でも、人はミスをするもの、エスケープ忘れもありそう [ nilab ]
汚い部分はできるだけ狭い範囲に押し込める [ blueday ]
これは違う。アプリケーション層でデータのみ扱うという制約を前提としている。HTMLをユーザが入力する場合は「常にエスケープ」はできない。HTMLの内部表現形が必要。 [ z0rac ]
「サニタイズ言うな」のわかりやすい解説。 [ kits ]
あーそうか。ボトムアップというか小さいサンプルの延長でスクリプト書いてるとこういう原則は学ばないかもね。 [ shidho ]
俺はどこで「サニタイズ」って言葉を聞いたんだろうか。 [ abedaster ]
[
← 前の画面に戻る ]
