セキュリティに関するtinybeansのブックマーク (1)

  • サニタイズ/入力値検証/エスケープの考え方 - Qiita

    結論 ・PHPに入ってくるときに入力値検証 ・PHPから出ていくときにエスケープ ・サニタイズはない サニタイズ サニタイズって言うと怖い人たちがやってくるから言わないようにしましょう。 サニタイズは入力値検証もエスケープもなにもかもを含んだ広い意味になってしまったので、うっかり言ってることがい違うと大変です。 入力値検証 入力値検証は、PHPの外からPHPに入ってくる値を検証することです。 外というと主に$_REQUEST/$_GET/$_POST等のリクエストパラメータがイメージされますが、実際はそれ以外にも環境変数、コマンドライン引数、ファイルやデータベースからの読み込みなど、PHP以外からやってくる全てのものを指します。 入力値検証はセキュリティ対策ではない もう入力値検証はセキュリティ対策としてあてにしないようにしようという記事がありますが、「もう」以前に、そもそも入力値検証は

    サニタイズ/入力値検証/エスケープの考え方 - Qiita
  • 1