シャアが来る
通常の三倍のひろみちゅが。と思ったらすでにブクマ済みだったとは。
http://itpro.nikkeibp.co.jp/article/COLUMN/20070206/260901/?ST=security&P=1
対策が・・・
基本的に真っ当な「出力」(データの引渡し)をしていれば問題はありません。
データの引渡し先の相手に適合するフォーマットにしておくことが肝心というわけですな。
相手が「コマンドライン」ならシェルのメタキャラクタをエスケープしておく。
相手が「データベースエンジン」ならSQLのメタキャラクタをエスケープしておく。
相手が「ブラウザ」ならHTMLの後略。
出力先がCSVならカンマ含んだデータをダブルクォーテーションで囲むだろ?そういうことっすよ。
ちなみに原理についてはもうアレすぎるので放置。確かに出力時のバグって点では同じだけど、それ以外の部分が全部違うだろ。