WEBアプリやスマホアプリなど一般ユーザー向けのアプリケーションでは、セキュリティホールが狙われやすく、万全の対策が必要です。

以前、ブログでも書きましたが、SQLインジェクションやOSインジェクションなどなど。実はプログラムによってセキュリティホールが生まれるという事も多いです。
セキュリティホールかどうかは、サイトのポリシーにもよるところもありますが、OSコマンドインジェクションなどは、想定外のコマンドが埋め込まれてしまう明らかなセキュリティホールですね。

そもそも、セキュリティホールとなりえるような実装を行わないというのが一番確実な対策です。
例えば、OSコマンドを実行できるようなAPIを使わないとか、SQLを発行しないとか、、

でも、実際問題としては、SQLを発行しないアプリケーションを作る。。。なんで非現実的ですよね。。。やっぱり、プログラミングによっては、セキュリティホールになりえるのを認識しつつ、その対策を行っておかねばなりませんね。

という事で、以下はIPAのセキュア・プログラミング講座です。ぜひ、セキュアプログラミングのご参考にして下さい。

[参考][IPA]セキュア・プログラミング講座
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html