gallu’s blog

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

なぜにそんな単純な脆弱性が放置されてる?

んと…知りうる限りではPHPでやたら多いのですが(それがPHPのシェアによるモノなのかは微妙に不明)。
XSS用の、HTMLのエスケープ処理。おとなしく素直に<>の2文字がまず妥当だと思うのですが。なんでか、<>は放置して”と’(と¥)に対して¥を付ける、っていう処理をあちこちで見ます。
んと…ぶっちゃけ「モノごっつ簡単にクラックできる」のですが。
なんでこーゆーもどき処理になるんでしょ?
っつのが。一ヶ所で見るだけなら「ふぅん」程度なのですが、割合にあちこちで散見するです。
…なんかPHPの実装的にありましたっけか?
最近…でもないのですが。自作フレームワークのMagicWeapon(略称 MW)使い倒してるので、そこのセキュリティクラス使ってるから…どうも不思議で。


次。
これは多分Javaの思想上の問題のような気がするのですが。
先に暴言。


いいから永続オブジェクトとかいう発想やめれ。
でなきゃせめて実装をもっと真剣に考えろ。


んと。頼むから「ろくに暗号化もせずにインスタンスシリアライズしたデータをhiddenに持つの」やめません?
ぶっちゃけめっさ簡単にクラックできまっせ?


なんていうか…もう一歩二歩、踏み込んでモノ考えて欲しいなぁと感じる今日この頃。
システム作ってるとか豪語する会社さんにンなシンプルな脆弱性があると怖いじゃないですか。