「安全なウェブサイトの作り方」を読んだ

www.ipa.go.jp

Web アプリケーションの攻撃手法と対策技術を具体的に知りたいと思っていたところだったので読んだ.

対策は単なる心構え的なものだけでなく, ヘッダにどんなフィールドを設定すべきかとか, 3 章の失敗例と対策例では実際にコード片が示されていて, 実践的なところが良かった.

SQL

同じページに 別冊:「安全なSQLの呼び出し方」も公開されていたので, こちらも読んだ.

とにかく生の値を使わずにプレースホルダを使うべき, という印象を受けた.

また付録では文字エンコーディングの処理の差異によって SQL インジェクションを引き起こす事例が解説されており, 面白かった.
とにかく全ての文字エンコーディングUTF-8 に統一したいという気持ちになった.