インジェクション系攻撃への防御の鉄則
前回までは,主にクロスサイト・スクリプティングのぜい弱性とその対策について解説してきた。最終回となる今回は,クロスサイト・スクリプティング以外の「インジェクション系」ぜい弱性について解説する。具体的には,SQLインジェクション,OSコマンド・インジェクション,HTTPヘッダー・インジェクション,そしてメールの第三者中継である。 SQLインジェクション対策にはバインド変数の利用が最適 まず,SQLインジェクションから見ていこう。対策には二つの方法がある。一つは,SQLの「バインド変数(注1)」を使う方法である。バインド変数の書式はプログラミング言語によって異なるが,一例として,Perlを使った場合に,パスワード認証のSQLをバインド変数で書き換えた例を示す(図1)。 (注1) 「準備された文(Prepared Statement)」というのがJIS SQLでの用語だがあまり普及していない。バ
いま起きているWeb標準の進化、HTML5、CSS3、JavaScript 2.0
日本が大型連休に入る少し前の4月23日、W3CはHTML5の新しいドラフトを公開しました。いつも最新のWeb標準化動向を伝えてくれるWeb標準ブログのエントリ「Last Callに向け進むHTML5 | Web標準Blog | ミツエーリンクス」によると、今回のドラフトから仕様書に大きく手が加わり、Webサイトを作る人向け(制作者に関係する要件)と、Webブラウザを作る人向け(実装要件についての要件)ごとに見やすくなるようなスタイルシートが用意されたとのこと。 これまでも何度かこのブログでは、HTML5やJavaScript 2.0などのWeb標準の動向を書いてきましたが、今回は分かりやすいようにその動きをまとめてみました。 HTMLはHTML4でいったん進化が終了し、それ以後はXHTMLで進化していくことになっていました。しかし実際にはXHTMLは期待されたほど普及せず、XHTMLによっ
d-spica
Firefox,Safari,Opera は IE に比べるとだいぶWeb標準に準拠してレンダリングされます。しかし,仕様に詳しく定められていないところは(追記参照)ブラウザごとのクセがあり,表示結果が微妙に違ったりします。以前,table に caption を入れたとき,margin を合わせるのにちょっと苦労した経験があったので,改めて調べてみました。
2010年に勧告される「HTML5」は「HTML4」と何が違うのか? - GIGAZINE
現在、ネットで一般的に使用されているHTML言語は「HTML 4」であり、1997年12月18日にW3C勧告として仕様が発表されたものです。これが実に10年以上の月日を経て、バージョンアップと言っても差し支えない「HTML 5」になるとのこと。最終版が登場するのは2010年9月頃の予定。 というわけで、来たるべき「HTML 5」時代に向けて、一体何がどう変わったのか、何が便利になるのかを見てみましょう。 HTML 5 HTML 5 differences from HTML 4 HTML 5 における HTML 4 からの変更点 面白いのがブログや記事向けの「article」要素や、画像やビデオなどの埋め込み内容に説明文やキャプションを付加する「figure」要素、マルチメディアのための「audio」および「video」要素、さらに新しい属性としてリンクをたどるときにpingされるリソース
Web標準化Tips - Web標準普及プロジェクト
特定のWebブラウザの独自拡張仕様を使っていたり、 特定のWebブラウザの表示が間違っていたために、 Mozillaによって実際に問題が発生した事例の修正方法を紹介しています。 また、ここで紹介する修正案は全てWeb標準仕様に基づいた内容となっています。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HTML5.JP - 次世代HTML標準 HTML5情報サイト
The W3C Markup Validation Service