Q&A
「いくら値を無害化したところで
ユーザ入力をextract()するなんてありえない
よもやグローバルスコープでやるなんて論外」
ってのは考えすぎなんでしょうか?
外部が作ったサイトでそういうのがあって
ちょっとひっかかってます
値の無害化はしっかりしてるっぽいんですが…
わりと普通なことなんでしょうか?
回答1件
0
ベストアンサー
私個人の意見としては、そのような実装は避けるべきだと思います。
現状でしっかり試験をし、そのような実装でも脆弱性を含まないことを実証したとしても、後の機能拡張などを別の人が実装した際、脆弱性を生む可能性が高いからです。
開発はチームで行うものでありますが、将来今のチームが保守しているとは限りません。
例外的に通常とは異なる特殊な実装をしたという事実を、将来のチームは知らないかもしれません。(設計書を残しても、認識してくれるとは限りません)
なので、業界でタブーとされている記述は"ちゃんと動くとしても"なるべく使用しないのが賢明かと思います。
投稿2015/10/07 10:53
総合スコア259
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/10/07 11:08