■ WASF Times版﹁サニタイズ言うな!﹂ 技術評論社の﹁Web Site Expert ﹂誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画﹁WASF Times﹂が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 ﹁サニタイズしろ﹂だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、﹁入力をサニタイズしていない﹂なんて言われたことはありませんか? ﹁入力﹂というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを﹁サニタイズしろ﹂というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう