ja:rule:入力
Differences
This shows you the differences between two versions of the page.
| Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
| ja:rule:入力 [2017/07/02 08:02] – [入力] yohgaki | ja:rule:入力 [2017/10/26 11:28] (current) – [ルール] yohgaki | ||
|---|---|---|---|
| Line 41: | Line 41: | ||
| ===== ルール ===== | ===== ルール ===== | ||
| + | * [[.: | ||
| * [[.: | * [[.: | ||
| * [[.: | * [[.: | ||
| - | * [[.: | ||
| * [[.: | * [[.: | ||
| * [[.: | * [[.: | ||
| * [[.: | * [[.: | ||
| - | * [[.: | ||
| * [[.: | * [[.: | ||
| * [[.: | * [[.: | ||
| Line 53: | Line 52: | ||
| * [[.: | * [[.: | ||
| * [[.: | * [[.: | ||
| - | * [[.:inp:]] | ||
| ===== 参考文献 ===== | ===== 参考文献 ===== | ||
| Line 64: | Line 62: | ||
| 出力対策は入力対策とは”**独立**”した対策である。出力対策は入力対策の有無に関わらず、出力対策のみで安全性を保証しなければならない。 | 出力対策は入力対策とは”**独立**”した対策である。出力対策は入力対策の有無に関わらず、出力対策のみで安全性を保証しなければならない。 | ||
| + | 入力コードでは「入力のコンテクスト」(データの種別)に応じたバリデーションを行う。出力コードでは「入力のコンテクスト」を判別できない場合がある。また、出力コードでは「出力先のコンテクスト」(出力先の種別、例:SQLならパラメーター、識別子、SQL語句)に応じたセキュリティ処理が必要となる。このため、入力コードでのデータバリデーションと出力コードでのデータバリデーションは異るモノである。 | ||
| + | |||
| + | 入力バリデーションエラーとなる入力は「不正なデータ」であり、正しく処理することが不可能なデータである。**Fail Fast原則**(出来る限り早く失敗させる原則)に則り、「不正なデータ」の拒否はソフトウェアがデータを受け入れた直後に行う。 | ||
ja/rule/入力.1498982573.txt.gz · Last modified: 2017/07/02 08:02 by yohgaki
