おさかなラボ - フレームワークというか
自分の開発スタイルについてある程度固まってきたのである程度公開してみる。 まずサニタイズ。自作のサニタイザを使用している。これは、指定したキーのクエリ変数しか使えないし、使う際は用途を指定しないと値が取り出せない。 ほとんどのクラックは、単なるサニタイズの「し忘れ」だ。だったらサニタイズしなきゃ使えないようにすればいーじゃんというのが今回の発想。昨今のクラックでは、「プログラムが使用してないクエリ変数」を使ってサニタイズを逃れるケースがあることを知った。俺の思想もまんざらではなかったようだ。 サニタイズの手順はこう。 check($_GET); validate($_GET); まず値の変更。論理的な判断を伴わないもの。行末の空白を切るとか、文字コードの変換とかそんなやつ。それが終わったらヴァリデーション。その次にサニタイズ。これがキモ。 $form_sanitizer =
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
escape
