まったり開発日誌 Web開発するときに気になること入力値の妥当性チェック サーバで必ず行う クライアントでの入力値チェックはユーザビリティの向上させる必要がある場合に実施する。 HTML出力時には特殊記号をエスケープ処理する(クロスサイトスクリプティングを防ぐ為にサニタイジング) Strutsのbeen:write または JSTLのc:out を使用すること。このタグはHTMLの特殊記号( < > , " ' & )を変換する機能を持つ。 SQL出力時にはバインドメカニズムを利用してSQLインジェクションを防ぐ プレースホルダとして「?」記号を使用しSQL文をあらかじめコンパイルしておくこと。 外部コマンド呼び出し時の妥当性チェック http://www.atmarkit.co.jp/fsecurity/rensai/webhole02/webhole02.html ファイル名指定時の妥当性チェック 任意の場所にファイルをアップロードさ
