2007-01-28 ■ 覚書 webアプリの設計の仕方 http://takagi-hiromitsu.jp/diary/20060409.htmlこういう本が読みたいなぁCSRF対策に「ワンタイムトークン」方式を推奨しない理由 サニタイズ言うな! http://takagi-hiromitsu.jp/diary/20070203.html入力直後でサニタイズするというのは、プログラムのロジックとして誤りです。 HTML文字列を書き出す部分(SQL文を構成するところ and 出力で使う値の全部に処置)でエスケープするのが正解