日経ソフトウェア3月号

https://www.amazon.co.jp/dp/B000MDH3FU

思うところあって購入。 「Webプログラミング実力アップ講座」と、付録の「Webプログラミング入門ブック」の二本立て。 付録の方は過去記事の再掲だけど、ずっと読んでいない身としては役に立った。

「Webプログラミング実力アップ講座」の方は、最近遠ざかっていた Perl の近況が分かって興味深かった。 格差社会じゃないけど、 Perl プログラマも二極化してるのね（次は Rails の番？）。

Part.4 では、「セキュアWebプログラミング」として、入力時の値チェックと出力時のエスケープの徹底が書かれている。 JavaScript インジェクション（XSS脆弱性）とSQLインジェクションについて詳しく書かれていて参考になった。 重複デコード処理によるJavaScriptインジェクションとかも紹介されていたけど、こういう例を見ると出力時のエスケープを徹底すべきことが良く分かる。

惜しいのは、後半になるにつれて、危険性の紹介（CSRF, Referer認証, 自動ログイン, セカンドオーダーSQLインジェクションなどなど）が増えるんだけど、それへの対策が書かれていないこと（フレームワークを使いましょう、とは書かれている）。 紙面に限りがあるのは仕方ないけど、ぜひ続きが読みたい。