内緒話 [戯言]
ある日、仕事場で耳をそばだててみました。
「文字列を繋げてSQL文を作……(ボソボソ)」
「うまく表示されない時が……(ボソボソ)」
「修正した時の影響範囲……、全部?(ボソボソ)」
「工期と予算が……(ボソボソ)」
「とりあえず、このままで……(ボソボソ)」
SQL injection 可能なまま放置っすか。
さらに、HTML出力時にエスケープしてないことも判明。
結局、余裕のある別のプロジェクトの工数を回す事で修正することになりました。
「これはエスケープが必要で……(ボソボソ)」
「これはエスケープをしなくても大丈夫なやつで……(ボソボソ)」
「ここは、どっちだろう……(ボソボソ)」
「やらなくても良いんじゃないかな?……(ボソボソ)」
危険文字のエスケープ処理は、「必要」とか「しなくて大丈夫」とかじゃなくて、出力する直前に、「全部やる」のっ!
それか、コレ。
今日の一冊 | |
|
2009-08-14 07:56
nice!(0)
コメント(0)
トラックバック(0)
コメント 0