記事個別表示 (3079)
これは「水無月ばけらのえび日記 : サニタイズ言うな?」に関連するコメントです。
[3079] Re: 「サニタイズ言うな?」
名無しさん (2005年7月19日 10時50分)
> では、名無しさんはもっと違うところにもっと重要な「問題」があると考えられているわけですね。もしよろしければ、ご説を披露していただけませんか?
言葉足らずは後で足すとして短く言うと、これまでに例としてあがったような問題に対処するときに、それらの対処をひとくくりにサニタイズと呼んでしまうと、りゅうさんの言われるように根本的な問題の解決から離れてしまう、という危惧があるのだと思います。
本来なすべき事柄が正確に理解されないまま放置されるからです。すなわちここで指摘されているのは「思考停止」です。
>>ただ、ばけらさんがケースとして挙げられた単引用符のような問題については、これをサニタイズと呼ぶのは適切でないと考えています。
>
> それは申し訳ないです。実は、単引用符は例として不適切だったと後悔しています。
その点については了解しました。
> 実際にはこのような明確にエスケープが必要なところではなく、たとえば店の ID をデータベースに渡すような微妙なところでインジェクションが発生したりします。そのような場合、必ずしも SQL 文レベルでの「エスケープ」が正しい対処法ではなく、たとえばその前の段階で「指定された ID が不正です」のようなエラーを出すことが適切であることもあるでしょう。この両者の処理を統括する呼称としては、今のところ「サニタイズ」以外に適切なものが思いつきません。
そのとおりかもしれませんし、別の適切な呼び名や別の概念の異なる考え方があるかもしれません。
もうひとつの質問([No.3072])に答えを出してから考えても遅くないと思います。
>「バグがあればどのような文字列も潜在的に危険だと思いますが、そのような主張でしょうか。」
> というご質問から、名無しさんは「どのような文字列も潜在的に危険」という考え方には与さない立場で話されているのだと理解しました。
これは反語のように見えるかもしれませんが、単純な選択肢の提示です。
事実私自身、どのような文字列も潜在的に危険という考え方はありうると思っています。ただし、その理解の仕方はこれまでに述べてきた私の想像する高木さんの考え方と相反するものではないとも思っています(この文が混乱をもたらすようなら忘れてください。これは傍論です)。
これは「水無月ばけらのえび日記 : サニタイズ言うな?」に関連するコメントです。
全読: [3045]Re: 「サニタイズ言うな?」からのスレッド(44件)]