第45回 入力バリデーションはセキュリティ対策 | gihyo.jp

「入力バリデーションはセキュリティ対策である」は世界の常識です。少なくとも大多数の世界のセキュリティ専門家は「入力バリデーションはセキュリティ対策」は常識だと考えています。 もちろん入力バリデーション対策がすべてであるわけではなく、ほかのセキュリティ対策も重要ですが、入力バリデーションが最も重要な対策の1つである、と考えている人は沢山います。 入力のバリデーションはすべてのプログラムに必須の保護機能です。一部に「入力バリデーションはセキュリティ対策ではない」とする声もあるようですが、入力バリデーションは間違いなくセキュリティ対策です。入力バリデーションはセキュリティ対策ではない、とする考え方は、混乱を招くだけです。 入力バリデーションをセキュリティ対策としているのは筆者のみではありません。世界的に利用されているセキュリティ標準でも、入力バリデーションを非常に有効なセキュリティ対策としてとら

[pmakino]

「入力バリデーションは間違いなくセキュリティ対策です」<正確には「セキュリティ対策*にもなる場合がある*」なのに、誰かが変に歪曲した言い方に固執してるせいで読者の混乱を招いているわけだが…

[ockeghem]

バリデーションがセキュリティ対策か否かは用語の定義の問題に過ぎない。バリデーションが不要とする人などいない。何を基準にバリデーションするかが重要

[katzchang]

「入力値のバリデーションは必要ですね」で十分。前回記事の「出力エスケープと重複する」という記述が、特に沢山の人を混乱させていた。

[hasegawayosuke]

「ベストプライス」まで読んだ。リロードしたら「プクティス」になってた。

[coolstyle]

よくここまでダラダラとわかりにくい記事を書けるな、と感心します。すごいです。

[longroof]

あーこれだな

[kits]

「数値IDであることを入力時にバリデーションしていれば，……などの脆弱なコードを書いた場合でも，……などの問題が回避できます」優先順位の置き方に疑問。

[security_check]

なぜPHPアプリにセキュリティホールが多いのか?：第45回　入力バリデーションはセキュリティ対策 ｜gihyo.jp … 技術評論社

[tadasy]

バリデーションはセキュリティ対策ですか…

[rryu]

CSRFはバグが原因ではないし、CSRF対策のトークンチェックのように純粋にセキュリティの為のバリデーションもあるので、そういうのとアプリケーション要件のバリデーションは分けて考えたい感じ。

[nihen]

id:katzchang 数値のバリデーションを行った上でエスケープ処理をすることを「重複」と表現することはそんなに間違ってないと思いますけどねー

[yohgaki]

入力バリデーションはセキュリティ対策ではない、というおかしな事を言う人がいるから書いたエントリ。必要なセキュリティ対策をするのは当たり前です。世界中のセキュリティ専門家に挑みたい方はご勝手にどうぞ。

[itochan]

http://gihyo.jp/dev/serial/01/php-security/0044 からブコメ、さらに http://d.hatena.ne.jp/ockeghem/20111203/p1 を経由しての返信らしい。

[MinazukiBakera]

軽く2回読んでみたのですが、何を言われているのかよくわかりませんでした。時間があるときにまたゆっくり。

[hanageman]

こんなに俺は正しい！世界的にも！みたいな記事を書くよりご自身の考える正しいセキュリティ機構をもつWEBアプリケーションフレームワークを作るとかするほうが自説の補強になるし意図も通じるんじゃないのとか

[SUM]

誰に向かって何を言ってるのかわけがわからないが、何のためにどのセキュリティを最低水準にしなければいけないのかによって必要な対策が決まるから、だからこそ批判されてるんじゃないんですかね

[mumincacao]

またまたごじょーだんを☆ 入力確認してれば対策できてると考えるほうがきけんがあぶないあるよー 半角の’とか＜とか＞だって項目によっては受け入れるのが妥当な場合だってあるんだし・・・ （´・ω【みかん

[kogawam]

調べてないけど、挙げてる例はWebじゃないのが多数な気が。OWASPがそんなに重視してるならそれはOWASPが間違ってるだけ。「何に効くか分からんけど無いよりマシ」程度ならそうかも。