2006/11/16(木)SQL Injection
http://takagi-hiromitsu.jp/diary/20061104.html#p01
なんというか…Webで一般に公開するようなサイトでprepare 使わないのって怖いと感じるのが普通のような気がするんですけど。ちょっとプログラムやってた事があればすぐにわかるような話なのにこんなに入力を”エスケープ”するというネタが出てくるのが世の中の不思議。
みんなお願いだからモンキーテスト位はやってほしい。そうすれば状態=コンテキストが存在する事の難儀さがわかって良い。信用できない入力をブラックリスト方式で取り除く事がいかに面倒なのかわかると思う。
ちなみに HTML などの SGML はパースする時に状態が多いのでフォーマットとしては大嫌いです。同様に MIME も嫌い。Unicode も同様。
keep it simple, stupid!