On Mon, 05 Jun 2006 22:53:35 +0900 (JST)
Zazel <zazel.ts@...> さんwrote:
> 入力を厳密にチェック。その上でHTMLを出力する場合は、リテラル等で
> タグを書く以外は代替文字化する関数を必ず通す。例えタグが含まれて
> いないと明らかな時でも、後の仕様変更で紛れてくるかもしれないので。
> SQLならばDBI::quote() を通す。
>
> 普通でしょ。(^_^)
毎度お世話になります。やはり入力のチェックというのは重要なんですね。僕
は自分で書いて自分で使うので、そういう習慣がまったくないのですが、まずい
ですね(^^;)
> あと昔はopen() ではなくてsysopen() を使ったりしてました。
プログラミングPerl第3版のセキュリティの章にsysopenの話が出ていますね。
使ったことがないので、よくわからないですけど、既存のファイルを上書きしな
いようにO_EXCLを使うことがポイントらしいですね。Windowsの場合、既存のファ
イルの上書きをしないことにどの程度意味があるのかは興味がありますけど。
藤岡 和夫
kazuf@...
TS Networkのために http://homepage1.nifty.com/kazuf/