SQLインジェクション対策にはPrepared Statement使え、XSS対策にはタグを使うな、エスケープしろとかいわれるけれども、本当にそれだけで十分なの?
脆弱性が発生する仕組みがわかって言ってるのならいいんだけど、そうじゃなくてただ機械的に対策をとっていると、思わぬ落とし穴にはまる可能性があるってこと忘れてないですか?
例えば、SQLインジェクション対策のPrepared Statementも多くの場合は防ぐことが出来るけど、場合によっては防げないものもある。もちろん、その対策が意味ないというわけではない。
ただただ、仕組みも知らず機械的に対策だけを教え込まれると、対策漏れが出てくるのが怖いなぁと思う。だから、開発する人には脆弱性の仕組みを正しく知ってもらい、その上で対策を教える必要があると思う。
TIPSとして対策だけをまとめてしまって、それを使うのは非常に怖いなぁと思う。
もちろんTIPSが使えないってわけでも、TIPSいらないというわけじゃないんだけどね。どちらかというとあった方が便利だし。ただ、それだけが一人歩きしちゃうのが怖いだけで･･･考えすぎかなぁ?

ほんとは、そんなこと考えなくてもフレームワークなどで対応してくれてるといいんだけどねぇ。