![Amazon.co.jp: 基礎からのMySQL [基礎からのシリーズ] (プログラマの種シリーズ): 西沢夢路: 本](https://cdn-ak-scissors.b.st-hatena.com/image/square/0833a1cfee59349f64434a2d9617c8c7cc8b87d7/height=288;version=1;width=512/https%3A%2F%2Fm.media-amazon.com%2Fimages%2FI%2F41cVdML6rcL._SL500_.jpg)
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
パーフェクトPHP 小川雄大、柄沢聡太郎、橋口誠(著) 技術評論社 2010年11月 ISBN-10: 4774144371 ISBN-13: 978-4774144375 3780円(税込) ■「例えば、PHPを避ける」の衝撃 Webプログラミングの分野で大きなシェアを持つスクリプト言語、PHP。しかし、プログラマのコミュニティ界隈では「PHPをdisる」ことが、風物詩のように行われている。 原因の一端は、おそらくIPAの「セキュア・プログラミング講座」というコンテンツだろう。『より良いWebアプリケーション設計のヒント』というページには、公開当時『例えば、PHPを避ける』というかなりショッキングな記述がされていた(現在は修正されて『プログラマが脆弱性をつくり易い環境を避ける』という表現になっている)。 当時の記述については、こちらのブログ記事が引用して紹介している。安全なプログラミング
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く