サーバの複雑さが変えたセキュリティ「サニタイズ」とは - ITMedia
XSSを防ぐなら、HTML及び各種スクリプト(JavaScript(JScript)やVBScript(IEのみ))でOKなんですが、インジェクション系の攻撃には他にも「SQLインジェクション(某有名Siteのセキュリティ事件で話題になりましたね)」や「コマンドインジェクション」と呼ばれる攻撃もあったり……。
SQLインジェクションの場合はSQL文、コマンドインジェクションの場合はQSの主要なコマンドがWebフォームから入力されても、直接各コマンドを叩く為の文字列に使わない事で防ぐ事ができますが(まぁ、そんなプログラムを書かない、使わないのが一番ですけれど)、どうしても必要があってというなら、これらに対してもサニタイズ処理を施さないと中途半端になってしまいますよ~。
参考:セキュア・プログラミング講座 - IPA
とりあえず、プログラムを書かれる方は、まずはココを一読しませう。
XSSを防ぐなら、HTML及び各種スクリプト(JavaScript(JScript)やVBScript(IEのみ))でOKなんですが、インジェクション系の攻撃には他にも「SQLインジェクション(某有名Siteのセキュリティ事件で話題になりましたね)」や「コマンドインジェクション」と呼ばれる攻撃もあったり……。
SQLインジェクションの場合はSQL文、コマンドインジェクションの場合はQSの主要なコマンドがWebフォームから入力されても、直接各コマンドを叩く為の文字列に使わない事で防ぐ事ができますが(まぁ、そんなプログラムを書かない、使わないのが一番ですけれど)、どうしても必要があってというなら、これらに対してもサニタイズ処理を施さないと中途半端になってしまいますよ~。
参考:セキュア・プログラミング講座 - IPA
とりあえず、プログラムを書かれる方は、まずはココを一読しませう。
