記事個別表示 (5035)
これは「出力をホワイトリストで処理することを真剣に考えてみる | 水無月ばけらのえび日記」に関連するコメントです。
[5035] Re: 「出力をホワイトリストで処理することを真剣に考えてみる」
sanaki (2008年10月6日 13時31分)
これは金床さんの「ウェブアプリケーションセキュリティ」P72 の "過剰なエスケープ" というものですね。
話変わって、
「なんでもエスケープしとけ、念のため」という考え方を突き詰めていくと「0-9A-Z」をなぜ文字実態参照しない?
という事にはなりますね。
そもそも論として、
"[ホワイト|ブラック]リスト" という言葉を出力時に持ち込むのはどうか、と思いました。
タブーをなくすために議論する、という目的であれば、有効だとは思いますが。
これは「水無月ばけらのえび日記 : 出力をホワイトリストで処理することを真剣に考えてみる」に関連するコメントです。
全読: [5035]Re: 「出力をホワイトリストで処理することを真剣に考えてみる」からのスレッド(8件)]