Gunosyで配信されてきて唖然としたので久しぶりにエントリー。
前もって断っておきますが、私はこのエントリーしか読んでいません。徳丸氏という方も大垣氏という方も存じ上げません。なので、全く見当違いの内容になっているかも知れないのでその点はご容赦を。
さて。
私がこの徳丸氏のエントリーで唖然としたのは後半の以下の箇所。
これが本当に「世界の常識」なのでしょうか?私は見たことがありません。よろしければ、ソースを示していただければと思います。
彼が「見たことがない」というのは、大垣氏の主張をまとめた次のようなコードだそうです。
- 入力値のチェックはアプリケーションの仕様を元に行う
- このチェックには2種類あり、ユーザの「入力ミス」と「入力バリデーションエラー」である
- 入力バリデーションエラーとは、利用者の通常の操作では入力し得ない値を検出するものである
- 例として、JavaScriptによるチェック済みなのにサーバーに仕様外の値が来たら入力バリデーションエラーとして厳しく対処する
- (恐らく)入力ミスについては優しくナビゲートする
ちなみに、私は見たことがあります。というか、まさしく私はこのように作ってます。むしろ「見たことがない」というのが驚き。
見当違いなら申し訳ないけど、徳丸氏は自分が何を言ってしまったのが解っているのでしょうか?「見たことがない」ということは、徳丸氏が書いてきたコードにはセキュリティホールがあるってことになるのですが…。