暮らし
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog

暮らしカテゴリーの変更を依頼記事元:

ockeghem.hatenablog.jp

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

828usersがブックマークコメント

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog

828 users

ockeghem.hatenablog.jp

よく使うタグ

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント77件

注目コメント
新着コメント

オーナーコメントを固定しています

オーナーockeghem日記書いた

2011/08/23リンク

その他

fukken直感的に「タイトル逆じゃねぇの？」と思った

2011/08/23リンク

その他

se-miソフトにつるし上げ。高木センセのハードなプレイとまた違う趣き

2011/08/23リンク

その他

mayuki初心者の人に徳丸本をいきなり読めというのは厳しいので、入門書をこなさせて実はこれが悪かったのでこれこれこうっていうのは結構いいのかもとか。

Security

2011/08/23リンク

その他

suginoy次に徳丸本が添削される流れを希望

2011/08/23リンク

その他

nihenよーしパパ徳丸本の脆弱性もっとみつけるぞー

2011/08/23リンク

その他

pochi-pタイトルが逆ｗ

2011/08/23リンク

その他

tosebro組む側からしたら、セキュアなコピペコードがほしい。「セキュリティエバンジェリストの諸君！」の例のように。

2011/08/23リンク

その他

kits「$はデータの終わりではなく、行末という意味なので、行末の\nがあってもマッチします」この点からして気付いていなかった。

2011/08/23リンク

その他

kagakaoruこれはいい宣伝。楽しさを学ぶ→安全を学ぶの順で正しいと思う（最初から「安全なWebアプリケーションの作り方」を読まなければならないわけではない）

2011/08/23リンク

その他

fakufaku おお、これはすごいぞ。チェック対象の本もご指摘されてる方の著書も、ちょうど昨日 Amazon したところだ。セキュリティ絡みは疎いので、こういう具体例で説明してもらえるとわかりやすいです。

2011/08/24リンク

その他

オーナーコメントを固定しています

オーナーockeghem日記書いた

2011/08/23リンク

その他

bitgleams2011年8月23日記事

2014/03/13リンク

その他

moerrari「よくわかる」の脆弱性について

2013/10/18リンク

その他

ji_kuBylineから ■もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら　たにぐちまことさんの書かれた『よくわかるPHPの教科書（以下、「よくわかる」）』を購入してパラパラと

2011/09/03リンク

その他

attokuなんというエブリタイム広告…！

2011/08/27リンク

その他

ahmokこのタイトルだと徳丸浩って奴がセキュリティ駄目駄目な人に思える。てか、ずっとそう思ってた。

security

2011/08/27リンク

その他

nohohon_xセキュリティって真剣に考えるべきなんだろうけど、吊し上げっぽいのが嫌い。「この人、鼻毛出てますよ－！」って拡声器で叫んでるみたい。好きで脆弱性のあるコード書いてるわけじゃないんだから。

2011/08/25リンク

その他

MASSIウホッ、いい宣伝。

2011/08/24リンク

その他

mumincacao$_SESSION に入れてそのまま表示ってつい最近どこかで見かけたような・・・ SEO() 目的であどれすに日本語まぜまぜするのも見かけるし URL まっちはほんと地獄あるねー（・ｘ【みかん

2011/08/24リンク

その他

lovecall「よくわかる」の脆弱性

2011/08/24リンク

その他

the48もし『安全なWebアプリケーションの作り方』の著者が『よくわかるPHPの教科書』を読んだら

2011/08/24リンク

その他

tanishi3ためになる悪趣味

プログラミング

2011/08/24リンク

その他

istb16もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem(徳丸浩)の日記

2011/08/24リンク

その他

tmatsuuWebプログラミング本出版時は監修を依頼しましょう

2011/08/24リンク

その他

2011/08/24リンク

その他

takun71安全なってついてるからこんだけ揚げ足取られても仕方ないのかねえ

2011/08/24リンク

その他

vent0819読み終わったらやってみる！というか読んでみる！

2011/08/23リンク

その他

dagjmpdもし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem(徳丸浩)の日記

2011/08/23リンク

その他

pochi-pタイトルが逆ｗ

2011/08/23リンク

その他

kairi-mふむ。

2011/08/23リンク

その他

rna要約:「入門書書く前に俺の本を読め！」/出す前にこのくらいのレビューしてもらえるといいんだけどそうもいかないのかな。

2011/08/23リンク

その他

yadokari23viahttp://twitter.com/dd2dtty/status/105967726580858880

2011/08/23リンク

その他

okinakaもしドラっぽいタイトル

2011/08/23リンク

その他

utd_sn3781いいぞもっとやれ

2011/08/23リンク

その他

koroharo技術書向けのセキュリティ診断サービスとかあってもおかしくない昨今。

2011/08/23リンク

その他

yhira0202後でじっくり読む

2011/08/23リンク

その他

2011/08/23リンク

その他

mekpsy技術者パラノイアを哂おう。徳丸本は別に必読ではないよとあえて言う。

2011/08/23リンク

その他

at_yasu「みんな徳丸本読んでね☆（ゝω・）vｷｬﾋﾟ」という話。営業乙

2011/08/23リンク

その他

nilnil個人的には、PHPセキュリティ関係の記事をいくつか見る限り、PHP入門書には書いてあることに従えば自然とsecureになる方法、てゆうかアルゴリズム入門的なことだとかテストの重要性も書いておかないといけない気がする。

2011/08/23リンク

その他

kayabo後でじっくりみてみよう

2011/08/23リンク

その他

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました！

さんが1番目にブックマークした記事「もし『よくわかるP...」が注目されています。

気持ちをシェアしよう

ツイートする

もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog

たにぐちまことさんの書かれた『よくわかるPHPの教科書（以下、「よくわかる」）』を購入してパラパラと...たにぐちまことさんの書かれた『よくわかるPHPの教科書（以下、「よくわかる」）』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ安全なWebアプリケーションの作り方（以下、徳丸本）」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件（仕様）に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します（「よくわ