ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2006-12-04 ぐてぇ〜

いろいろあってぐったり中

[]サニタイズ言うな サニタイズ言うなを含むブックマーク サニタイズ言うなのブックマークコメント

http://takagi-hiromitsu.jp/diary/20051227.html#p02

今更ながらに反応してみる。

今一、よく分からなかったけど、

http://kmaebashi.com/zakki/zakki0042.html

をみて、やっと理解。

まぁ、「信頼できないもの」をそのまま使うと、意図しない動き(例えばSQLの検索条件に「'」を入れると、文字列区切りとしてDB認識してしまうとか)をするから、意図する動き(さっきの例だと、「'」を文字列区切りではなく、「検索条件」として「'」を使用したい)しかしないようにするというところか。

どういった条件であっても意図した動きしかしないようにすることは「サニタイズ」とは言わへんでってこと?そんなの当たり前のことだよなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20061204

1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |