サニタイズ言うなキャンペーンについて - Ogawa::Memoranda
Posted by: Hirotaka Ogawa @ December 28, 2005 06:43 PM | 隣のオフィスの人がこんなことを書いていました: 高木浩光@自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ.. なるほどね、「サニタイズ言うなキャンペーン」とはそういう意味でしたか。私自身、PHPやPerlで適当に書き散らしたものをこのブログで公開してしまっているわけでそれらについてすべてケアできているとは到底思えない、これから気をつけようと思いました(笑)。 で、やっぱり思ったのは、PHPにしろPerlにしろSQLにしろ、String Processingの範疇にあるプログラムは、ほとんど常に処理中の文字列が指し示す「型」を意識しなければ作れないにも関わらず、最もベーシック
サニタイズ言うなキャンペーンがわかりにくい理由 | 水無月ばけらのえび日記
「サニタイズ言うなキャンペーン」とは何か (takagi-hiromitsu.jp)要約版:「サニタイズ言うなキャンペーン」とは (takagi-hiromitsu.jp)個人的には、「サニタイズ言うなキャンペーン」がわかりにくくなっている最大の要因は、「サニタイズと言うな」という語の多義性にあるのではないかと思います。私は最初にこの話を見たとき、これを「サニタイズという言葉を使うな」と解釈して、以下のような主張なのではないかと予想しました。 とある概念を、「サニタイズ」と呼んではならない「サニタイズ」という言葉を使うのではなく、別のもっと適切な言い方をすべきであるしかし、「「サニタイズ言うなキャンペーン」とは何か (takagi-hiromitsu.jp)」の議論を見ると、これはむしろ以下のような話であるように思えます。 きちんとしたプログラミングの手法をとれば、プログラマが「サニタイズ
高木浩光@自宅の日記 - 続・「サニタイズ言うなキャンペーン」とは
■ 続・「サニタイズ言うなキャンペーン」とは 「サニタイズ」という言葉はもう死んでいる サニタイズ言うなキャンペーンがわかりにくい理由, 水無月ばけらのえび日記, 2006年1月5日 というコメントを頂いた。まず、 これは「サニタイズという言葉を使うな」という主張ではありません。「そもそもサニタイズしなくて済むようにすべきだ」という主張です。言い方を変えると、「サニタイズせよと言うな」という主張になります。 「サニタイズ言うなキャンペーンがわかりにくい理由」, 水無月ばけらのえび日記, 2006年1月5日 とある。「サニタイズせよと言うな」キャンペーンでもよいのだが、 その場合は次の展開が予想される。 「サニタイズせよと言うな」を主張する際の具体例として、XSSやSQLインジェ クションのケースを挙げた場合、正しいコーディングは、「その場の文脈でメ タ文字となる文字をエスケープすること」と
パブリックコメント−経済産業省
当省では、情報システムを主に外注により調達しています。この場合、システム開発企業に当方の要求を的確に伝えるための媒体である外注仕様書が非常に重要なものとなります。この調達を適正かつ効率的に行うため、平成14年度に行った「システム開発仕様書の作成における調査分析」(外注先:株式会社三菱総合研究所)を基に「システム開発に係る外注仕様書作成マニュアル(案)」を作成しました。 本マニュアルは当省の情報システム室が関与するシステム調達に使用することを主な目的としておりますが、今般、本マニュアルを取りまとめるに当たり、広く国民の皆様からの御意見をいただきたく、以下の要領で御意見(パブリックコメント)の募集をいたしますので、忌憚のない御意見をお寄せいただきますようお願い申し上げます。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://rhongomyniad.org/notes/2005/12.html
http://homepage.japanweb.co.jp/program_04.html
ドキュメントマネジメント改革とXML~情報編集ビジネス・モデルの提案~
http://www2s.biglobe.ne.jp/~kobayasi/order/ma.htm