【PHP】下らねぇ質問はID出して書き込みやがれ 81at PHP【PHP】下らねぇ質問はID出して書き込みやがれ 81 - 暇つぶし2ch■コピペモード□スレを通常表示□オプションモード□このスレッドのURL■項目テキスト200:nobodyさん 09/02/21 13:35:45 >>199 ネーミングが悪かったかもしれない XAMPPは初心者もなじみやすい名前だから、暫くはそっちが流行ると思うな 201:nobodyさん 09/02/21 13:36:24 >191 会員制の課金の発生する、バックエンドでCSVとTSVでレポートを吐くwebアプリを仕事で書いてるが、 ・DBに渡す際にPDOのプレースホルダで渡す、あるいはmysql_real_escape_stringなどでクエリを構成する ・画面表示する際にはビューに渡す時点で原則全ての値をhtmlspecialcharsでエスケープ (タグを書き出さないといけない箇所や、HTML以外の箇所などの例外は慎重に検討したうえでエスケープせず渡す) ・DBには、例えばフォームからの入力なら入力値がそのままの形で格納される このルールが一番分かりやすいし、安全だし、汎用性がある。 出力部で「この文字列はDBから来た値だからhtmlspecialcharsは不要、こっちはクライアントからの入力値だから必須…」とかやってると、絶対変換ミスが発生する。 何も考えずルールにさえ従ってさえいれば脆弱性が発生しない事をシステムが担保してくれる形にするのが一番安全なんだよ。 俺はMySQLでの危険文字を全て列挙すら出来ない低能だし、職場には俺以下の屑が溢れているが、このルールに従う限り絶対安全だとシステム側で保障できるコードを組める。 次ページ最新レス表示レスジャンプ類似スレ一覧スレッドの検索話題のニュースおまかせリストオプションしおりを挟むスレッドに書込スレッドの一覧暇つぶし2ch