『最初に「読む」PHP』は全体的にとても良いが惜しい脆弱性がある

最初に「読む」PHP（クジラ飛行机）を読みました。本書にはセキュリティ用語（クロスサイトスクリプティング、SQLインジェクション等）はほとんど出てきませんが、脆弱性についてよく配慮された記述となっています。しかし、その細部の詰めが甘く、脆弱性が混入してしまいました。その内容を報告したいと思います。 クロスサイトスクリプティング 出力時にHTMLエスケープするという原則を比較的早い段階で説明しています。その説明が素晴らしいと思いました。 ユーザーから送信されたデータを、PHPを使ってそのまま画面に表示することは、レイアウトの崩れや セキュリティ上の危険につながります。必ず、HTMLに変換してから表示します。そこで、画面に「(^o^)<Hello」と表示するプログラムを作ってみましょう。 「HTMLに変換して」という表現がとてもいいですね。難しくいうと、Content-Typeをtext/pl

[mumincacao]

最近『結局何が起こるの？』への回答も大変だし脆弱性の有無にかかわらず『入力したでーたが想定してたのと違う結果になったらばぐくんだから修正しないとね』ぐらいでいいような気がしてきてるのです（ーω【みかん

[trashtoy]

エスケープの必要性のくだりが確かに分かりやすいので、今後初心者に教える時の参考にしたい。そして脆弱性が本当に惜しいｗ（こういう事もあるから自分は属性の記述を二重引用符で統一している）

[raimon49]

入門書としてかなり好ましそう。新入社員などに薦める一冊として覚えておきたい。

[nekoruri]

そろそろ、出版にもリリース前脆弱性診断が必要だと思う。

[ww_zero]

自分も昔は intval() 使ってたなあ。今ではすっかりプレースホルダだけど

[Kenji_s]

「このように、htmlspecialcharsというのは、文字列をHTMLに変換するものという説明は本質をついているように思います」

[fan-tail]

こらまた良い補足。

[paschen00]

徳丸浩の日記: 『最初に「読む」PHP』は全体的にとても良いが惜しい脆弱性がある

[MinazukiBakera]

『最初に「読む」PHP』は全体的にとても良いが惜しい脆弱性がある

[cubed-l]

～対策としないのは良いなぁ

[hiroshi_revolution]

『最初に「読む」PHP』は全体的にとても良いが惜しい脆弱性がある | 徳丸浩の日記