俺の脳内選択肢が、SQLインジェクション対策を全力で邪魔している — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something
PHP Advent Calendar 2013 in Adventarの19日目です。昨日も私の「PDOでの数値列の扱いにはワナがいっぱい(2)」でした。 うっかりtogetterなんか見てしまい、無駄に時間を使ってしまったと後悔した上に混乱してしまい余計にわからなくなってしまった人もいるかも知れません。 そこで、せっかくの機会なので、SQLインジェクション対策について、現在の私の考えをまとめておこうと思います。 選べ ①SQLインジェクション対策にプリペアドステートメントを使う ②SQLインジェクション対策にエスケープを使う もし、上記のような選択にはまってしまったら、あなたのSQLインジェクション対策は、現実的には、ほぼ100%間違っていると言えるのではないでしょうか。プリペアドステートメントとエスケープは、このような対立構造にはありませんから。 なお、この記事は、SQLインジェクシ
徳丸浩『安全なWebアプリケーションの作り方』-阿部和也の人生のまとめブログ
徳丸浩『体系的に学ぶ 安全なWebアプリケーションの作り方―脆弱性が生まれる原理と対策の実践』(ソフトバンククリエイティブ)を読了した。徳丸は、システムの脆弱性診断やセキュリティのコンサルティング業務を行なうエンジニアで、診断を実施する会社を経営しており、脆弱性の啓蒙活動も行なっている。 現役の専門家が執筆しだけあって、ウェブサイト(サーバ、アプリケーション)のセキュリティについて、文字通り「体系的」に余すところ無く解説してあり、非常に素晴らしい本だった。付属のCD-ROMには、Linuxサーバをバーチャルマシンでセットアップできるツールが準備されており、脆弱性に対する攻撃や対策を、実際に体験することができる。 プログラミングを学ぶ過程で、一通りのセキュリティに関する学習はしてきたはずだが、このように体系的に整理すると、抜けていたところや古い知識が思いのほか多いことに気付かされた。特に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
