2006-12-10 [長年日記]
■仮面ライダー
- 作者: 村枝 賢一
- 出版社/メーカー: 講談社
- 発売: 2006-11-22
- ASIN: 4063492656
- メディア: コミック
を読んで、原作版が読みたくなって文庫版を引っぱり出してきて読んでみて、そうしたらSpiritsの元ネタとか色々と気になって、
仮面ライダー画報―仮面の戦士三十年の歩み (B.MEDIA BOOKS Special)
- 出版社/メーカー: 竹書房
- 発売: 2001-09
- ASIN: 4812407834
- メディア: 単行本
を引っぱり出して読んでいた、そんな日曜日。
■サニタイズ言うなキャンペーン発動中
WEBから入力して登録するシステムを作っているのですが、いっそのこと入力チェックはJavascriptだけではだめだろうかと考えています。
フォーム自体でJavascriptを使って表示しているものもあるので、「Javascriptをオフにしている人がいるかも」ということは気にしません。
フォーム自体をJavascriptで書いていれば、オフにして送信できないし、何かまずいことはあるかなと考えています。
JSで入力チェックをして、それでもおかしなデータで送信してくるデータはエラーとして、登録処理を終わりにすればいいし、DBに登録する部分でサニタイズもしています。
http://q.hatena.ne.jp/1165754185
肝心な部分を「サニタイズ」の一言で説明したつもりになっているようでは、よしておいた方がいいでしょう。
端折った分を追記 2006/12/11
サニタイズってなんのこと?
SQLインジェクションを起こしそうな文字の除去のこと?
XSSを起こすであろう文字の除去のこと? それとも実体参照への変換? 実際参照への変換ってのは、俗に言う escape のことね。
でも実体参照に変換しちゃったら検索が面倒だよね?
え? 検索する時も「サニタイズ」すればいいって? でも「DBに登録する部分」でサニタイズするって書いてるでしょう? SQLのWHERE句に入れる時には何もしないってことじゃないの?
で。
サニタイズって、なんのこと?