21. 方式設計のすすめ
• 開発標準の抽象度が高い場合、基本設計フェーズの「方
式設計」として、具体的なコードレベルに落としておく
とよい
XSS対策のため特殊文字をエスケープする Bad
H TM L表示の際に「 、「 、「 、「」
<」 >」 &」 ”は文字参照によりエ
スケープする
H TM L表示の際にhtm l
speci chars()関数により
al エスケープ
H TM L表示の際にライブラリ e()関数を用いる
【 実装】
functi e($p) {
on
echo htm l
speci chars($p,EN T_Q U O TES,' TF-8'
al U );
} Good
• 開発言語、アーキテクチャ、ライブラリ、チームの習慣
等を考慮し、コピペ可能なレベルまで具体化しておく
• 方式設計の際には、テスト方法も検討しておくとよい
Copyright (C) 2009 HASH Consulting Corp. 21