PHP入門書のSQLインジェクションとXSS対策をあらためて調べてみた

継続的にPHP入門書のセキュリティ問題を確認していますが、今回は「やさしいPHP 第3版」を取り上げ、今どきのPHP入門書のセキュリティ状況を報告したいと思います。 やさしいPHP やさしいシリーズ 単行本 – 2008/2/29 やさしいPHP 第2版 (やさしいシリーズ) 単行本 – 2010/8/28 やさしいPHP 第3版 (「やさしい」シリーズ) 大型本 – 2014/9/26 上記のように、2008年に初版が出版された後2回の改版がありました。 第2版ではクロスサイトスクリプティング(XSS)の説明が追加され、第3版ではXSSに加えSQLインジェクションの説明が追加されました。つまり、初版ではこれらの説明はなかったということです。 第3版におけるSQLインジェクションの対策方法はプレースホルダによるもので、結果として本書にSQLインジェクション脆弱性は見当たりません（パチパチパ

[Kenji_s]

『PHPの入門書を書く方には、「出力の際にHTMLエスケープ」を徹底していただきたいと希望します』

[miya2000]

素人に脆弱性のあるサンプルを教科書として見せることにリスクを感じない人がいることに驚愕する。普通に訴えられるのでは？

[rryu]

PHPのechoが自動でエスケープするようになればXSSもなくなるのになあ。

[dozo]

言いたいことはわかるが、入門書にすべて詰め込もうとすると、セキュリティばかりに話しが寄って肝心な部分が伝わらなくなる。別項目や別書籍でしっかり伝える形でいいだろ。

[mumincacao]

『出力の際に』がすごく大事で入力値をとりあえず htmlspecialchars() しちゃう癖がついてるひととかいろいろとめんどいですにゃー・・・ （´・ω【みかん