(Last Updated On: 2018年8月13日)一見徳丸さんのブログは分かりやすいように思えますが、それは単純な実験により分かりやすいように見えるだけで複数の間違いがあります。 その間違いとは 意図の取り違い – 誤読 言語の仕様と実装の理解不足 HTTPやPHP仕様の理解不足 セキュリティ対策をすべき場所の理解不足 です。(※0) 徳丸さんは非常勤とは言え、国の出先機関の研究員であるし、その出先機関は職務放棄とも言える文書(「例えば、PHPを使用しない」と勧める文書)を公開している(いた?)のでしっかり反論しておく必用がありますね。IPAのあの文書は職務放棄と言える文書だと思っています。これについても後で意見を述べます。 意図の取り違い – 誤読 最初の間違いは私のブログのエントリ「何故かあたり前にならない文字エンコーディングバリデーション」に対する理解です。特にPHPユーザに
![セキュリティ専門家でも間違える!文字エンコーディング問題は難しいのか?](https://cdn-ak-scissors.b.st-hatena.com/image/square/1263ee6f27e74ceef62f6cc27bbd7d7b314eb435/height=288;version=1;width=512/http%3A%2F%2Fblog.ohgaki.net%2Fmedia%2Fblogs%2Fyohgaki%2Fwebappattackpoints.png)