アカウント名:
パスワード:
> 重複はできるだけ廃したいところだが、どこにどのような穴が存在するかは分からないわけで
むしろ、どこに穴が生まれるか判らないからこそ、重複を避けたいと思うんだけど…。この重複と表現している部分が元記事を読んでも、正直良く判りません。
重複を避けるの意味を、PHPでよく使う処理をfunctionにまとめることだと思ったんですが、それが何故セキュリティホールにつながっていくのか、そこもイマイチ判然としません。
もし何か私が誤解しているようなら、ぜひ指摘していただけないでしょうか。
入力チェック処理をどこで行うかということですね。
理論的には1回で大丈夫なんだけどプログラマは完璧ではないし、ミスることはあるので入力チェックはなるべく複数のところで行った方がより確実だよってことですね。
例えば、一番最初に入力チェックをやるのは当たり前としてDBへのアクセスの前にもチェックを行う方がより安全でしょう。自分の場合は表示の部分でも出来るだけチェックして、たとえ変なタグがDBに入力されても問題が起きないようにしているけどね。
特に複数の人で作っていると、DBも必ずしも安全とはいえないし(誰が変なプログラム作るかわからないしw)そんなプログラム作る人ほど他人のせいにしてくる人も多いから、共通モジュール作る時などは特に注意するね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
完ぺき主義ではないけれど (スコア:0)
> 重複はできるだけ廃したいところだが、どこにどのような穴が存在するかは分からないわけで
むしろ、どこに穴が生まれるか判らないからこそ、重複を避けたいと思うんだけど…。
この重複と表現している部分が元記事を読んでも、正直良く判りません。
重複を避けるの意味を、PHPでよく使う処理をfunctionにまとめることだと思ったんですが、
それが何故セキュリティホールにつながっていくのか、そこもイマイチ判然としません。
もし何か私が誤解しているようなら、ぜひ指摘していただけないでしょうか。
Re:完ぺき主義ではないけれど (スコア:0)
入力チェック処理をどこで行うかということですね。
理論的には1回で大丈夫なんだけど
プログラマは完璧ではないし、ミスることはあるので
入力チェックはなるべく複数のところで行った方がより確実だよってことですね。
例えば、一番最初に入力チェックをやるのは当たり前として
DBへのアクセスの前にもチェックを行う方がより安全でしょう。
自分の場合は表示の部分でも出来るだけチェックして、たとえ変なタグがDBに入力されても問題が起きないようにしているけどね。
特に複数の人で作っていると、DBも必ずしも安全とはいえないし(誰が変なプログラム作るかわからないしw)
そんなプログラム作る人ほど他人のせいにしてくる人も多いから、共通モジュール作る時などは特に注意するね。