駆け出しエンジニアの皆さんに知ってほしい脆弱性のこと。

セキュリティは難しいです。 ですが、プログラミング初学者の皆さんは必要以上に萎縮せず、どんどんアプリケーションを作り、公開することにチャレンジして欲しいと私は思っています。 一方、事実として、脆弱なアプリケーションが公開されている（サーバ上でアクセス可能な状態になっている）だけで、全く無関係な第三者が被害を被る可能性があることは知っておく必要があります。 それはWordPressを使った単なるWebサイトであったとしても同じです。 また、あなたのアプリケーションが破壊されて困らないものであったり、 個人情報を保持していないものであったとしても、です。 だから、知らなかった、では済まされないこともあります。 この記事では、PHPのソースを例に、 特にプログラミング初学者が生み出しやすいアプリケーションの脆弱性について、 具体的なコードを挙げながら解説します。 なお、本記事のサンプルコードはも

[hase0510]

「新人」はOKで「駆け出し」はNGという感覚はないなあ。言ってること同じじゃん。

[nakag0711]

そこは「新人エンジニア」でしょ…駆け出しは自称するのはいいけど他称に使ったらライトな蔑称だからね

[ozuma]

徳丸本を紹介して欲しい

[prograti]

おかしな部分が所々あるのですが、取り敢えずXSS対策でhtmlspecialchars関数にENT_QUOTESフラグが指定されていないのと、CSRF対策でトークンを!=で比較しているのはダメではないかと/ 修正されてました。ありがとうございます。

[sabinezu]

なんでも簡単にそれなりに作れちゃうからそういう意識の無い人は結構いるだろうね。異常系を想定しない(できない)人が増えてる印象。

[poco_tin]

「駆け出し」って蔑称なの？

[kariyushi23]

“o htmlspecialchars”

[moto_motosaka]

とても基本的な話。逆にコーディングしてて、このままだと危なくない？って発想になるくらい、普段から心の隅に悪意を持っていたほうがいいと思う

[kobito19]

あれ？えがちゃんとかの頃は脆弱性なんて気にすんなとか言ってなかったっけ？

[kenchan3]

まあ前置きもなくいきなりエンジニアと言い出すのは、マニュアル読んで完璧に分かった気になってるIT系の学部も出てないエンジニア未満のITテクニシャン。

[t-murachi]

「危険な変数」という言い方は本質を見失いそうな気がする。「汚染された値」という考え方が古典的ではあるけど、重要なのは何に使うかで、値の出処を気にせずに済む方法が正しい作法として定着すべきと思う。

[circled]

Laravel使うと、この辺全部デフォで対策済みだったりするのだが、、、久しく見ないコードを見てしまった。

[north_korea]

CSRF対策としては、トークンを使わないプリフライトリクエストの検証というやり方もある（formの同期通信には使えないけど） https://qiita.com/okamoai/items/044c03680766f0609d41

[oshishosan]

き…きじゃく

[sinsinchang]

駆け出しというより、phpエンジニアの皆さんに、じゃないのかな

[miruto]

]

[h_taiji]

気をつける

[nunulk]

"Laravel を使っていればそれだけで安全、というわけではありません。"