MyMiniCity踏んでください!!

ただいま絶賛MyMiniCity参加中です．是非リンクを踏んでください!!(笑

August 31st, 2006

それ自分のことじゃねーの?

(Read: 5439)

参照： [PHP-users 30194] Re: ご意見等をよろしくお願いいたします

php-usersで飯高さんが投稿されたメール関連が一部で中々にぎわってるんですが

とりあえず

とにかく色々問題があることは分かったのですが、あまり積極的にお話されたくないようなので、深くはうかがいません。

とか書かれてますけど自分のことじゃないんですかねこれ?
わざわざ直接メール送ってきたりしてるけどさ.

とか陰口だけで終わってもあれなので,本人運悪く読んだらかわいそう(余計なお世話
ってことでもう一つだけMLでも直接のメールでも詳しく書いてないポイント書いておきます.

>

<
> ・SQL Injection の対策それでいいんですか? > > 数値を期待するのに何故エスケープしないといけないのか? > 本当に > エスケープであってます?
>

<

$_POSTが丸投げされるデータベース関連のクラスで$class_idといった数値が期待されるものを単純にエスケープされていますが,(これは繰り返しになるけど)本当にそれでいいと思ってるんですか?
例えば$_POST[ "class_id"] = "poyo";とか不当に値を入れられたとき,SQL(の一部)は

>||
SELECT ... class_id = 'poyo'
||<

みたいになります.本当にこういうSQLでいいんですか?
こういう場合

・常に強制的に数値に変換
・変換された数値の妥当性のチェック

が必要でしょう.
とりあえずもしこの人この辺想像できないのなら,ぬくい環境で開発しすぎなんじゃない
かと危惧してしまう(余計なお世話
まぁ私もデータベースをがっつり扱うような案件なんてほとんどやってないので偉そうなこと言えませんけどね.

どちらにしろ作り出されたアプリケーションには罪はないんです.
マイペースで育ててあげればいいんじゃないかなとか思います.