セキュリティ - データのエスケープ
2010年08月17日
WEBアプリケーションにおいて、出力データにエスケープ処理を行うのは、
SQLインジェクションなどに対するセキュリティ対策の基本です。
エスケープ処理の対象
ユーザの入力値をエスケープするのは当然ですが、
DBから取得した値などの内部データについては見落としがちです。
内部データを盲目的に信頼して使用するのではなく、
エスケープ可能なデータは全てエスケープする必要があります。
エスケープできないデータは、その値がどこで作成されたデータなのか、
100%安全で信頼できるデータであるということを確認しなければなりません。
SQLインジェクションなどに対するセキュリティ対策の基本です。
エスケープ処理の対象
ユーザの入力値をエスケープするのは当然ですが、
DBから取得した値などの内部データについては見落としがちです。
内部データを盲目的に信頼して使用するのではなく、
エスケープ可能なデータは全てエスケープする必要があります。
エスケープできないデータは、その値がどこで作成されたデータなのか、
100%安全で信頼できるデータであるということを確認しなければなりません。
