TSfree 発言

Bruce.です。

ネット上の議論て論点がかみ合わないですねえ。
と各所を見て感じつつ。

Webアプリケーションを作る前に知るべき10の脆弱性 − ＠IT
http://www.atmarkit.co.jp/fsecurity/column/ueno/47.html

例によって素人の素朴な疑問です。

> ●3．悪意のあるファイルを読み込んで実行
>
>　内部や外部からファイルを読み込む機能を持っている場合、その入力されたデータの
> チェックが不十分なことによって、任意のファイルやコードを読み込ませることがで
> きてしまうというバグによって起こります。PHPでの典型的な脆弱コードとしては
>下記のようなものです。
> include $_REQUEST['css'];

外から来たものは危ないからそのまま口にしちゃダメというのは
常識ではないんでしょうか?(^^;

いちおう
> 開くファイルや入力できる文字列を限定したホワイトリスト方式での対策や、
> リモートファイルのインクルード機能を利用しない設定（PHPならallow_url_fopen=off）
> にしたり、ディレクトリを超えたファイル指定をできないようにしたりする対策が有効です。

というフォローはありますが。
いくつかは「外から入ってきたものはきちんとチェックしましょうね」
ですむ話だと思うのですが。
#サニタイズいうな?(笑)

ところでPHPには Perlでいうところの taint のチェックはないんでしょうか?

いじょ。