# progというカテゴリ自体久々な上に、意味はありませんが。
別に言語がどうとか言う話には興味なくて。
数年前(?)に「Linuxに触れる」ようなド素人向けの研修が有りましたが、perlとPHPとjava(servlet)でサーバサイドプログラミングのまねごとというものがあって、見事なまでに入力そのままを出力するサンプルだったわけですが。
その頃ですら「クロスサイトスクリプティング」と言う言葉自体知っていたかどうかはともかく、入力をそのまま出力するのは危険、と言うのはまあある程度は知られていたわけなのですが……。世界的なコンピュータ会社である某I社のサンプルですらそんなのだったという罠。
思わず、研修の感想みたいな所に「セキュリティ上問題のあるサンプルはいかがなものか」と書いてしまった記憶が。その後がどうなっているのかは知りませんが。
追記
人の記憶ってあてにならないものだな。
研修資料らしきものを発掘したら、perlじゃなくてPHPだった(苦笑)
しかも入力そのまま出力どころか、postgreSQLにも登録するサンプルだし。SQLインジェクション付きだった。