1月14日の日記を書いた後、amazon.co.jpの当該書籍に書評を投稿した。amazonの書評の投稿は初めてだったので、レビューガイドラインを読みながら書いたのだったが、残念ながら採用されなかったようだ。以下に投稿した文を掲載しておく。
セキュリティへの配慮が欠落した脆弱本, 2006/1/15
レビュアー: 高木浩光 (東京都) - レビューをすべて見る
この本にはセキュリティ脆弱性を防止する観点が完全に欠落している。サンプルコードの大半にクロスサイトスクリプティング脆弱性があり、ログイン機能を作ってみせる例題では、典型的なSQLインジェクション脆弱性があって、パスワードに「'or'A'='A」と入力するだけで誰でも認証をスキップして不正ログインできてしまう。これらHTML出力、SQL文の構成に関する正しいコーディング手法は、後付けの「対策」として学ぶのではなしに、最初の段階で叩き込むべき最も基礎的な事項である(でなければ、セキュリティ以前に正しい動作さえしない。例えばログイン機能の例題プログラムでは「'」を含むパスワードを利用するとエラーになってしまう)PHPはそれ自身Web用言語であるのだから、「セキュリティのことは後で」という言い訳はありえない。消費者の個人情報を危険にさらす欠陥Webサイトは、孫請け零細業者に雇われた素人プログラマが、こうした本だけを頼りに作っている。脆弱プログラマを量産する著名な脆弱書籍の罪は大きい。著者らはその社会的責任を知るべきである。
以下はJVN: 株式会社はてなの JVN#77886599 への対応 から 2月1日時点の内容の転載。
公表日 2006/02/01
最終更新日 2006/02/01
状態 : 該当製品あり JVN#77886599
製品開発者からの提供情報
修正済みです。
更新履歴
(略)
何?これ。「修正済みです。」だけ?
誰(どの組織)が書いたか不明(JVN編集者が書いているようにも読めなくもない)なのは、システムに問題があるのではないか。署名欄でも設けたらどうか。自由書式だからこういう輩が出てくるのだから、記入様式を用意したらいいのに。