「サニタイズじゃなくてエスケープなんだ」と何度言えば…orz - がるの健忘録
元ネタ列挙。 PHPでのセキュリティ対策についてのメモ http://note.openvista.jp/2008/php-security-memo/#2 XSS対策に入力時エスケープは非常にややこしい http://ukstudio.jp/2008/10/27/xss/ XSSの脆弱性を限りなくなくす方法 http://blog.webcreativepark.net/2008/10/24-201629.html 相変わらず軽微なところから。 http://ukstudio.jp/2008/10/27/xss/ 入力時エスケープは非常にややこしい 確かに、入力値に必ずエスケープしておけば、XSS対策漏れにはなるかもしれない。けれど非常にややこしいことになる。 その代わり違う脆弱性がだだ漏れになる事も多々。 ちなみにフレームワークやテンプレートエンジンが出力時のエスケープをデフォルトで行
えといわゆる phpspotメソッド ですか? - がるの健忘録
元ネタは http://d.hatena.ne.jp/gallu/20080702/p2 あたりから。 んと。今し方伺ったら。なんかこんな文章が入り込んでた。修正日不明(だって書いてないんだもん)。 ※ 本サンプルはFlexigridの使用法を示すことに主眼を置いたものであり、セキュリティの観点からは不十分な点も存在するので注意していただきたい。具体的には、 htmlspecialchars(trim($var))では、「'」(シングルクォート)がエスケープされない。htmlspecialchars(trim($var), ENT_QUOTES, 'UTF-8') と記述したほうが好ましい SQL文の組み立て時に、代入する文字列はmysql_real_escape_stringなどで必ずエスケープするべき といった対処が必要である。さらにエスケープ処理だけに頼らず、なるべくホワイトリストを
文字列の比較に==演算子でなく===(=が3つ)か、正規表現なりstrcmpなりを使おう
昼の激闘が嘘のような。あるいはその激闘を癒し包むかのような真夜中の静寂。 初冬ともいえるこの時期の冷たい風が、激務に火照った体をゆっくりと静めてくれる。ほんの一瞬の、至福な時。 その永遠の如き静けさを引き裂くかのように。 そのメールは不意にやってきた。 PHP驚愕の事実 if ('2a' == 2) { ここ通る } ………まてやこら。 あんまりの驚きに「ドラマ風」なスタートを切ってみましたがるです皆様いかがお過ごしでしょうか(まだテンションがおかしい)。 なんていうか…驚きですワンダーです冒険ですドラマですそんなネタまみれなプログラム言語イヤだい。 おいといて。 ちょっと実験をしてみました。 if ('2a' == 2) { // true if ("2a" == 2) { // true if ('a2' == 2) { // false if ('a2' == 0) { // tru
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
