過去プロジェクトを使うとろくなことがない。
今日のバグ報告。
■不適切なHTMLエンティティ化
DBから取得した値を表示するときに、HTMLエンティティ化している。これはOKなんだけど、DB登録するときにも、値をHTMLエンティティ化していた。ん?何したいん?
&...のオンパレード。こんなデータ、使えるわけねぇ。
■urldecode($_GET['hoge'])
あのぉ...$_GET['hoge']に入った時点で、デコードされてるんですが...意味ないんですけどぉ...
■自力でエスケープ
SQLインジェクション対策?で、自力で¥やシングルクォート、ダブルクォートをエスケープしていた。
これがまた不完全なエスケープでね。\\'でSQL文こけるよ。テストしてねぇだろ。
postgresqlもmysqlもPHPに関数あるんだからさ、そっち使おうよ。
■like検索で全件検索
WHERE句のLIKE組み立てるところで、%と_がエスケープされてない。
LIKE '%%%'じゃ全件検索だろが。
■パラメタ改竄し放題
せめて、下限と上限値のチェックぐらいしようよ。
■二重登録
ブラウザの [ 戻る ] で戻ったときのこと考えてないよ。
[ F5 ] アタックされても知らないぞ。
これらすべて、ほぼすべてのPGで実装されていた。
これ、わけわかってないときに下に作らせて、ノーチェックでリリースしただろ。
短納期・低価格で使いまわすの止めようよ。
質の悪い過去資産しかないんだからさ。
しかも、作った奴は辞めてるし、そのとき仕切ってた奴は我関せずで...
おかげで今日もこんな時間。
さて、今から米研いで寝るか...
なんでも屋さんの自称SEさんが、知らなかったことをメモ代わりに書いてます。 たまに関係のないことも書きますが、良かったら参考にどうぞ。 2020/11 なんでも屋さんだったSEさんは、転職しました。今は社内SEさんとして、自社システム開発してます。 でも、一人なんだよね・・・ 2021/8 もう少し自分で考えてよって人が増えました...いい歳なんだからさー、指示待ちやめてよねー 2023/11 転職してから早3年、仲間が4名になりました!
登録:
コメントの投稿 (Atom)
Chatの「メッセージは投稿者によって削除されました」を非表示にする方法
Chrome拡張機能を自作してやってみよう! ♪できるかな できるかな ・・・ 無理ぽ (´・ω・`) iframeの中に、実際のメッセージのやり取りが表示されるので、 $(function(){ $('iframe[name^="spa...
-
Internet Explorer も、気がついてみたらFirefoxまでも、複数タブ・ウィンドウ間で同一セッションになってしまった。確か、Firefox 3.6のときは、ウィンドウが別だったらセッションも別になっていたと思ったのになぁ... で、同一セッションになって困るの...
-
本題に入る前に、まずは、sh/bash系のシェルで標準出力と標準エラー出力をリダイレクトする方法から。 現在使用中のシェルを確認するには、 # echo $SHELL とすれば確認できる。 その他、利用できるシェルを確認するには # cat /etc/shell...
-
mb_send_mail()を使ってメールを送信する場合は、第5引数に Return-Path を指定する。 さもなければ、Return-Path は apache@hoge.dom (コマンドラインから実行したときは、実行アカウント名@hoge.dom)になる。 第5引...
0 件のコメント:
コメントを投稿