bleis-tift https://blog.hatena.ne.jp/bleis-tift/ ぐるぐる～ https://bleis-tift.hatenablog.com/ Security JavaScript 何処とはいいませんけど、あるサイトの脆弱性が非常に気になる今日この頃。そのサイトはPHPを使っていて、いろんなところにフォーム*1がある。そして、ほとんどすべてのフォームでいわゆる「サニタイジング」を行っていない(！) 文字数制限が入っている部分もあって、さすがに全角10文字だと何もできない*2けど、文字数制限なしの部分も数ヶ所発見・・・ で、これはやばいと思ってちょっと前から管理者に問い合わせてるんだけど、全く音沙汰なしときた。さて、このサイトが攻撃されなきゃいいけど・・・ で、話はエスケープする文字についてなんだけど、このサイトを作った人は、文字列だけをエスケープすればいいと思ってるようで… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fbleis-tift.hatenablog.com%2Fentry%2F20060728%2F1154097569" title="エスケープする文字 - ぐるぐる～" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2006-07-28 23:39:29 rich https://bleis-tift.hatenablog.com/entry/20060728/1154097569 1.0 100%