数値のバリデーションは無意味なのか?
数値の入力にはバリデーションは要らない、と考えているケースが少なからずあるようです。本当に数値に対するバリデーションは無意味なのでしょうか?
「出力対策だけのセキュリティ設計」が誤りである理由
まず結論から。タイトルの通り「出力対策だけのセキュリティ設計は設計ミス」です。
なぜ「出力対策だけのセキュリティ設計は設計ミス」なのか?
PHPのHTMLエスケープ
いろいろなコンテクスト用のエスケープ方法を書いてきましたが、HTMLコンテクスト用のエスケープ方法エントリは古いままでした。今のPHPのHTMLエスケープを紹介します。
参考:他のエスケープ方法は以下のエントリを参照してください。