回答編集履歴
4
追記
answer
CHANGED
|
@@ -23,6 +23,8 @@
|
|
|
23
23
|
---
|
|
24
24
|
`気づけばプロ並みPHP`はセキュリティ面では誤った記述も多く(特に初版では致命的に誤った記述がいくつもある)、改訂版を副読本と合わせて読む場合以外では信頼してはいけない質の書籍です。
|
|
25
25
|
|
|
26
|
+
提示されているソースでも、`htmlspecialchars()`を適用する場所が明らかに誤っています。
|
|
27
|
+
|
|
26
28
|
セキュリティに関しては、
|
|
27
29
|
[IPA
|
|
28
30
|
安全なウェブサイトの作り方](https://www.ipa.go.jp/security/vuln/websecurity.html)
|
3
追記
answer
CHANGED
|
@@ -21,7 +21,7 @@
|
|
|
21
21
|
|
|
22
22
|
備考
|
|
23
23
|
---
|
|
24
|
-
`気づけばプロ並みPHP`はセキュリティ面では誤った記述も多く(特に初版では致命的)、改訂版を副読本と合わせて読む場合以外では信頼してはいけない質の書籍です。
|
|
24
|
+
`気づけばプロ並みPHP`はセキュリティ面では誤った記述も多く(特に初版では致命的に誤った記述がいくつもある)、改訂版を副読本と合わせて読む場合以外では信頼してはいけない質の書籍です。
|
|
25
25
|
|
|
26
26
|
セキュリティに関しては、
|
|
27
27
|
[IPA
|
2
追記
answer
CHANGED
|
@@ -2,7 +2,8 @@
|
|
|
2
2
|
---
|
|
3
3
|
> hiddenでは利用者が内容を書き換えられると聞きました。
|
|
4
4
|
|
|
5
|
-
hiddenに限らず、
|
|
5
|
+
フォーム値はhiddenに限らず、全て書き換え、追加が可能なので、hiddenか否かで区別する意味はあまりありません。
|
|
6
|
+
(一見、書き換えられないように見えるが実は書き換えられるので注意して使わなければいけないという要素はあるかとは思いますが)
|
|
6
7
|
|
|
7
8
|
> この時、悪意のある書き換えが行われることへの対策として、次の処理ページにおいても同じように入力検査をしなければならないのでしょうか?
|
|
8
9
|
|
1
誤字修正
answer
CHANGED
|
@@ -10,7 +10,7 @@
|
|
|
10
10
|
|
|
11
11
|
> 毎度入力検査をするとなると少々冗長ではないでしょうか。
|
|
12
12
|
|
|
13
|
-
webアプリケーションである以上、仕方ない事なので
|
|
13
|
+
webアプリケーションである以上、仕方ない事なので冗長ではありません。
|
|
14
14
|
(ソースコードの冗長さという面では、同じチェック機構(関数やクラス)によって集約出来るので冗長にはなりません)
|
|
15
15
|
|
|
16
16
|
どうしても毎回チェックをしたくない場合は、
|