MyMiniCity踏んでください!!

ただいま絶賛MyMiniCity参加中です.是非リンクを踏んでください!!(笑
August 31st, 2006

それ自分のことじゃねーの?

(Read: 2697)
Add to Hatena Bookmark

参照: [PHP-users 30194] Re: ご意見等をよろしくお願いいたします
php-usersで飯高さんが投稿されたメール関連が一部で中々にぎわってるんですが
とりあえず


とにかく色々問題があることは分かったのですが、 あまり積極的にお話されたくないようなので、 深くはうかがいません。


とか書かれてますけど自分のことじゃないんですかねこれ?
わざわざ直接メール送ってきたりしてるけどさ.

とか陰口だけで終わってもあれなので,本人運悪く読んだらかわいそう(余計なお世話
ってことでもう一つだけMLでも直接のメールでも詳しく書いてないポイント書いておきます.

>
<
> ・SQL Injection の対策それでいいんですか? > > 数値を期待するのに何故エスケープしないといけないのか? > 本当に > エスケープであってます?
>
<

$_POSTが丸投げされるデータベース関連のクラスで$class_idといった数値が期待されるものを単純にエスケープされていますが,(これは繰り返しになるけど)本当にそれでいいと思ってるんですか?
例えば$_POST[ "class_id"] = "poyo";とか不当に値を入れられたとき,SQL(の一部)は

>||
SELECT ... class_id = 'poyo'
||<

みたいになります.本当にこういうSQLでいいんですか?
こういう場合

・常に強制的に数値に変換
・変換された数値の妥当性のチェック

が必要でしょう.
とりあえずもしこの人この辺想像できないのなら,ぬくい環境で開発しすぎなんじゃない
かと危惧してしまう(余計なお世話
まぁ私もデータベースをがっつり扱うような案件なんてほとんどやってないので偉そうなこと言えませんけどね.

どちらにしろ作り出されたアプリケーションには罪はないんです.
マイペースで育ててあげればいいんじゃないかなとか思います.

トピックの参照元

▼最近のトピック

▼ 人気のトピック


< 過去の記事 [ 8All Categories ] 新しい記事 >
Powered by gsblog (customize)

[ POST ] [ AddLink ] [ CtlPanel ]

Subscribe blog

Bookmark blog

About me

about me

応援しています

我が息子が産まれたアクア・バースハウス(東京都世田谷区にある助産院)を応援しています.

翻訳のお仕事

腕に自信がある方,修行をしたい方はこちらをどうぞ.

2006 calendar

8月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31
| Day | Month | Year |

Powered by RRDTOOL.

Archives

Categories

Links


Mail to admin

人気ブログランキングへ RSS feed meter for http://blog.poyo.jp/ Search Engine Optimization
blogpeople.netに登録!! スカウター : よくきたblog

My Google news

My Google News

Related site

ころんころん♪ べびぽよ フォト蔵Wiki
string(40) "/categ-1/year-2006/month-8/id-1156998849"