記事個別表示 (3075)
これは「水無月ばけらのえび日記 : サニタイズ言うな?」に関連するコメントです。
[3075] Re: 「サニタイズ言うな?」
ばけら (2005年7月18日 22時28分)
>また、高木さんにしても、問題がばけらさんの日記とこれまでの投稿の内容に示されるようなことなら、キャンペーンを張るほどのことはないのではないかと思います。
では、名無しさんはもっと違うところにもっと重要な「問題」があると考えられているわけですね。もしよろしければ、ご説を披露していただけませんか?
>ただ、ばけらさんがケースとして挙げられた単引用符のような問題については、これをサニタイズと呼ぶのは適切でないと考えています。
それは申し訳ないです。実は、単引用符は例として不適切だったと後悔しています。あの例は、まさに「見方によってはサニタイズではないと考えられ得る例」であり、しかも「傍目からもエスケープで足りると判断できる例」だったからです。
実際にはこのような明確にエスケープが必要なところではなく、たとえば店の ID をデータベースに渡すような微妙なところでインジェクションが発生したりします。そのような場合、必ずしも SQL 文レベルでの「エスケープ」が正しい対処法ではなく、たとえばその前の段階で「指定された ID が不正です」のようなエラーを出すことが適切であることもあるでしょう。この両者の処理を統括する呼称としては、今のところ「サニタイズ」以外に適切なものが思いつきません。
>ちなみに、これまでの投稿で私の立場を表明したことはなかったと思います。
そのつもりではないのでしょうが、
「バグがあればどのような文字列も潜在的に危険だと思いますが、そのような主張でしょうか。」
というご質問から、名無しさんは「どのような文字列も潜在的に危険」という考え方には与さない立場で話されているのだと理解しました。そう判断したことによって名無しさんの言われていること全てに筋が通りましたので、私はそこですっきりしたのです。
これは「水無月ばけらのえび日記 : サニタイズ言うな?」に関連するコメントです。
全読: [3045]Re: 「サニタイズ言うな?」からのスレッド(44件)]