続・「正しい入力」「あり得る入力」「あり得ない入力」の話 : iwamotのブログ
2013年07月21日17:14 カテゴリ 続・「正しい入力」「あり得る入力」「あり得ない入力」の話 いきなりタイトルをひっくり返すようだけれど、こう考えるほうが分かりやすい気がしてきた。 HTTPリクエストには、通常の操作で起こりえる「あり得るリクエスト」と、そうでない「あり得ないリクエスト」がある 入力パラメータ(PHPだと例えば $_GET["hoge"])には、仕様上「正しい入力値」と、そうでない「正しくない入力値」がある Strong Parametersの役割 は、「あり得ないリクエスト」を「あり得るリクエスト」に変換したり、例外としたりすることだ。だからこそ、モデルではなくコントローラに置かれた。 This new approach is an extraction of the slice pattern and we're calling the plugin for i
「サニタイズ」の方針を考える : iwamotのブログ
2012年03月30日23:54 カテゴリ 「サニタイズ」の方針を考える 「徳丸浩の日記: 処理開始後の例外処理では「サニタイズ」が有効な場合もある」を読んで、以前、奥さんに同様のご指摘をいただいたことを思い出した。 XSS対策パッチを当ててもRailsに残る脆弱性 - 岩本隆史の日記帳 そのときは考えを深められなかったので、あらためて考えてみたい。 まず、徳丸さんが例に挙げられている「異常なデータを含むツイート」については、そもそもそのようなツイートを許さないようバリデーションすれば済む話といえる。それでも、保険的に「サニタイズ」したいケースはあるだろうし、しておいて困ることはないだろう。 実は、もっと積極的にサニタイズすべき場合がある。ブログのサイドバーに外部サイトのフィードを表示したり、Amazonの売れ筋ランキングを表示したりするケースだ。出どころが外部サイトである場合、いつ異常な
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
