TSfree 発言

  ねこ丸です。

Bruce. writes:

> > 　趣味程度で腹を壊すぐらいなら大した問題ではないでしょうが、少なくとも
> > Web上で仕事をされるなら、Webのセキュリティについては別途勉強する必要があ
> > るでしょうね。僕も系統的に勉強したいですけど、何か良い書籍はありますか。
> 
> これはねこ丸君のほうが詳しいかと。
> 私の知る限りでは「これ一冊でOK」ってな決定版になるようなものは
> なかったと思います。
> 
> さて寝よう…

  うぉっつ。そんなフリですか。

  ぶっちゃけ僕も本は読んでないですね。あえて挙げるならこれかなぁ？と思っ
ているところですけど、実際に読んではいません。

Webアプリセキュリティ対策入門 ~あなたのサイトは大丈夫?(大垣 靖男)
http://www.amazon.co.jp/dp/4774127027/

  ご本人の blog のチェックをしていますが、PHP と PostgreSQL に詳しい方
です。あとは @IT の連載を読んでましたかねぇ。

＠IT：Webアプリケーションに潜むセキュリティホール（1）
http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.html

星野君のWebアプリほのぼの改造計画 連載インデックス - ＠IT -
http://www.atmarkit.co.jp/fsecurity/index/index_hoshino.html

  ちょっと大げさ＆端折ってる感はありますけど、これを元手に blog で言及
している記事を辿っていくと補完できるんじゃないかと。いやぁ便利な世の中
になりましたな。

  それと高木さんとこですね(^^;

  ただ僕は基本的にユーザーの入力を積極的に受け付けるタイプのものはあま
り扱っていないので、インジェクション系は弱いんじゃないかなと思います。
一応どこで気をつけなければいけないのかは分かっているつもりですけど、指
摘にあったような正規表現マッチで command が叩けるなんてのはちょっと予想
の外でした。

--
    ねこ丸