回答編集履歴
1
追記
test
CHANGED
|
@@ -7,3 +7,25 @@
|
|
|
7
7
|
|
|
8
8
|
|
|
9
9
|
どちらかというと、セキュリティポリシーとして「正式なインターフェイス以外からの投稿を許容しない」とか「すべての投稿には意図があり、その意図をバリデーションとして記述する」といったものがあるかどうかに左右されると思います。
|
|
10
|
+
|
|
11
|
+
|
|
12
|
+
|
|
13
|
+
**追記**
|
|
14
|
+
|
|
15
|
+
バリデーションって、副次的にセキュアなシステムを補助しますが、本質的には「入力値が想定しているものであることの確認」です。
|
|
16
|
+
|
|
17
|
+
ですので、セキュリティを担保するには、実際に使用する箇所で値を「セキュアなもの」にして扱う必要があります。
|
|
18
|
+
|
|
19
|
+
|
|
20
|
+
|
|
21
|
+
例としては
|
|
22
|
+
|
|
23
|
+
・XSS 対策として出力時に「htmlspecialchars」でエスケープする
|
|
24
|
+
|
|
25
|
+
とか。
|
|
26
|
+
|
|
27
|
+
|
|
28
|
+
|
|
29
|
+
バリデーション=セキュリティの担保と考えるのは、本質からはちょっとズレています。
|
|
30
|
+
|
|
31
|
+
バリデーションの必要性は、「ポリシーとして入力値の想定をどう扱うか」が判断基準となります。
|