![](https://s.togetter.com/static/web/img/placeholder.gif)
技評の記事「入力バリデーションはセキュリティ対策」に読者を混乱させるとコメントしたら名誉毀損だと恫喝された件
![](https://s.togetter.com/static/web/img/placeholder.gif)
『123』というデータを百二十三と言う数値として取るか、1、2、3という文字の並びとして取るかはプログラマ次第で、プログラマが数値として取り扱ってるのに、言語などが文字の並びとして勝手に解釈するのはオカシイ
2011-12-20 13:21:38![](https://s.togetter.com/static/web/img/placeholder.gif)
だから、プログラマが意図しないデータを勝手に解釈して、無理矢理処理するんじゃなくて、そのデータはオカシイと言語なんかが判断しろと言ってるだけなんだがなぁ
2011-12-20 13:24:46![](https://s.togetter.com/static/web/img/placeholder.gif)
@ikepyon プログラマが文字エンコーディングのバリデーションが必要なテキストとそれ以外(これもバリデーションが必要)を切り分けるのだから自動じゃないですよ。どう考えても自動で入力バリデーションというコンセプト自体に瑕疵があるのでは。
2011-12-20 14:33:12![](https://s.togetter.com/static/web/img/placeholder.gif)
@ikepyon どう自動化するのか説明してもらった方が早いかな?それで、欠陥を指摘する方が良いように思います。
2011-12-20 14:34:30![](https://s.togetter.com/static/web/img/placeholder.gif)
@yohgaki だから、データがテキストとして取り扱うかどうかを決めるのはプログラマの仕事、プログラマがテキストとして取り扱うコードを書いてるのに、無理矢理テキストでないデータをテキストデータとして取り扱うのがオカシイといってるんです
2011-12-20 14:59:01![](https://s.togetter.com/static/web/img/placeholder.gif)
@ikepyon データに応じた適切な処理をするのが「プログラマ」の仕事ですよね。どうやって「テキスト」を自動的に処理するのでしょうか?人が仕分をする時点で自動じゃないですよね。
2011-12-20 15:01:54![](https://s.togetter.com/static/web/img/placeholder.gif)
@ikepyon 納得できる「自動化」の手順を教えて頂ければ、今日から自動化推進者になりますよ。なので手順を教えてください。
2011-12-20 15:05:18![](https://s.togetter.com/static/web/img/placeholder.gif)
はてなブックマーク - なぜPHPアプリにセキュリティホールが多いのか? http://t.co/0bHsNDWp 文章の書き方に問題があるのか、書き方に問題があるのか。理解していないと思われるコメントもあるなあ。
2011-12-20 15:20:08![](https://s.togetter.com/static/web/img/placeholder.gif)
「コンピュータの計算は不正確」は常識だ!という記事を書くともっと面白い反応があるのかな?数値計算で一番最初に学ぶことだと思うのだけど。
2011-12-20 15:21:29![](https://s.togetter.com/static/web/img/placeholder.gif)
@kis ですね。使ってるライブラリは完璧じゃないし、新しい物がどんどん出てくるのに。自分は心配になるので対策をしたくなります。
2011-12-20 15:51:46![](https://s.togetter.com/static/web/img/placeholder.gif)
id:katzchang 数値のバリデーションを行った上でエスケープ処理をすることを「重複」と表現することはそんなに間違ってないと思いますけどねー / “なぜPHPアプリにセキュリティホールが多いのか?:第45回 入力バリデーションは…” http://t.co/TjKr6Fn8
2011-12-20 15:54:34![](https://s.togetter.com/static/web/img/placeholder.gif)
言葉の定義の問題だし自分もぶっちゃけどうでもいいとは思ってる。だからこれから1ヶ月ぐらいセキュリティ対策って言葉使うの禁止な。
2011-12-20 15:57:32![](https://s.togetter.com/static/web/img/placeholder.gif)
@yohgaki 一番手っ取り早いのはテキストデータの型を持つ変数を実装することです。型が無いならデータをテキストとして取り扱う内部関数なり、演算子の中で入力値のバリデーションをすれば良いのでは?
2011-12-20 16:39:41![](https://s.togetter.com/static/web/img/placeholder.gif)
@ikepyon タグ方式ですね。2つ問題が。1つは、自動ではないです。プログラマが意図的にやらないと漏れがでる。2つ目は当たり前ですがエンコーディングタグを持たない型の言語では使えません。
2011-12-20 17:03:55![](https://s.togetter.com/static/web/img/placeholder.gif)
どうとればいいのだろう?w RT @tomoki0sanaki: @ikepyon 巨大な敵に臆することなく、尊敬します。(苦笑)
2011-12-20 18:43:33