(Last Updated On: 2019年1月9日)追記:解りづらい、とご指摘があったので「セキュアコーディング方法論再構築の試み」を再構築してみるとして書き直してみました。このエントリの方が詳しいですが、よろしければこちらもどうぞ。 セキュリティの専門家と呼ばれる人であってもセキュアコーディング/セキュアプログラミングを正しく理解していない例は散見されます。今回はそのケースを紹介します。 参考1:セキュアコーディングについて詳しくない場合、このブログを読む前にセキュアコーディング/セキュアプログラミングの歴史は理解しておた方が良いかも知れません。 参考2:そもそも、原理的/論理的に入力対策を無視/軽視したセキュリティ対策は誤りです。 「出力対策だけのセキュリティ設計」が誤りである理由 参考3:前提知識として入力データには三種類しかなく、不正なデータはソフトウェアにとって百害あって一利