10/06/06 03:03:14 6EBd2Pmg
CGI == ASP->VBscript等 内部はCとかPerlも有りだったと思う。
でもってパラメーターの汚染チェックは全パラメーターでやるのは当たり前だとは思うが、
どのインターフェース(CGIなりmod_phpやmod_perlでもなんでも)でも
色々な方法でパラメーターが入ってくるから訳解らなくなるんだろうね。
大規模だと書き方は確かに多種多様になりがちというか初心者も混じる前提で考えてもいいよね。
だからセキュリティ知識のある人が、全てのコードに入ってくるパラメータチェックのコードを入れてあげるといいかもね。
合えて親切に作るならば、予想される汚染パラメータを全てIIS側でチェックしてあげてもいいかもね。
SQLインジェクションだけに限ればOracleとかSQLServer側で自動チェックしてもいい気もするよね。
高い金払う事になるわけだし。。。
もちろんFreeのDBにはそんな機能なんてついてない。
strict しておけばRequestを直接流し込むのはエラーにならなかったっけか?