Pocke https://blog.hatena.ne.jp/Pocke/ pockestrap https://pocke.hatenablog.com/ Programming 脆弱性を見つけるコードレビュー(OSコマンドインジェクション) - ククログ(2017-04-27) 上記記事の内容が、ミスリーディングを誘う可能性があると思ったので、勝手に補足します。 2017/05/04 追記 元の記事の方に修正をいただきました。 そのため、以下の内容は元の記事を読んでいれば読む必要がない内容となっています。 TL;DR 外部コマンドに外部入力値を渡す際には、エスケープではなく、シェルを経由しない外部コマンド呼び出しを利用しましょう。 元記事の問題点 元記事の “3.OSのコマンドを実行する関数に与える引数が適切にエスケープされているかどうかをチェック” では、外部コマン… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fpocke.hatenablog.com%2Fentry%2F2017%2F05%2F01%2F183053" title="Re: 脆弱性を見つけるコードレビュー(OSコマンドインジェクション) - pockestrap" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2017-05-01 18:30:53 rich https://pocke.hatenablog.com/entry/2017/05/01/183053 1.0 100%