「Laravelエキスパート養成読本」の内容に含まれる脆弱性について

タグ: Laravel  

追記:正誤表が発表されました。 http://gihyo.jp/book/2015/978-4-7741-7313-9/support 脆弱性の部分のコードについては直接触れられていないようです。以下のサンプルコードを参照してください。

既に他のブログなどで発表されている通り、2章チュートリアルの内容はユーザーの入力に基づく内容を出力する際、エスケープが行われていないため、安全なコードではありません。

修正されたコードを参照されるようにお願いします。

https://github.com/jumilla/l4-sample-todo

出版社からの正誤表がすぐに出されるのを期待していましたが、遅れているようです。他の誤記や内容の修正もあります。出版元の技術評論社が修正ページを用意するのをお待ちください。

本来なら修正ページが整ってからお知らせするところですが、こと脆弱性に関わることですので、一足先に当ブログでも発表させていただきました。

Laravelを全く知らない読者、フレームワークの初心者、もしくは以前に出力が自動的にエスケープされるフレームワークを利用されていた開発者の方が誤った知識を取得してしまわないよう、ぜひお近くに購入された方がいらっしゃいましたら、脆弱性についてお知らせいただければ幸いです。

なお、私の担当の第1章ではフォルダーの名前で"models"と記述するべき部分を"modeles"と2箇所掲載していました。修正し、お詫びいたします。