« 今日は空目しそうに(笑) | Main | やっぱりNEC製ノートPCはアプリケーションCDなしにセットアップ可能? »

2008.08.01

Webアプリ/システムのセキュリティは面倒

WASForum Conference 2008: Webセキュリティのマルプラクティス – 思い込みによるソフトウェアエラーをなんとかしろ」を読んでいたのですが、SQLインジェクションがらみのセキュリティホールはなかなか直らないですね。

仕事柄、DBアクセス処理を書くことがあるのですが、メンバーに加わった人にはバインドメカニズムを使うように指示したりしてます。 ただ、こういったことを極力意識しないでも処理できるようにするのが理想ですね。

ASP.NETはバインドメカニズムはもちろんありますし、データ連結を使っていれば入力系コントロールのクロスサイトスクリプティング対策も勝手にやってくれるので、こういった機能を積極的に使う方が楽かもしれないですね。

ラベルなどの表示系コントロールはHTMLを直接表示することが可能なため、HTMLタグに使われる文字は変換処理が必要ですが、データ連結を使う場合は、aspxファイル側にHtmlEncode()やURLEncode()を書けばプログラムコード上にHtmlEncode()やURLEncode()を書かなくても良いので、負担が少なくなっています。

|

« 今日は空目しそうに(笑) | Main | やっぱりNEC製ノートPCはアプリケーションCDなしにセットアップ可能? »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/27186/42026783

Listed below are links to weblogs that reference Webアプリ/システムのセキュリティは面倒:

« 今日は空目しそうに(笑) | Main | やっぱりNEC製ノートPCはアプリケーションCDなしにセットアップ可能? »