URLパラメータ

セキュリティ対策に必要なURLのパラメータチェック
（思いついた分のみ, 必須だが十分ではない）
一部は「エラー対応ブック」の引用も含む

• オーバーフローチェック1 - 不当に大きい値、たとえば整数値や大型整数値を超える場合の動作。たとえば次の値のテストをする。

・ 制限値以下
・ 最小値
・ 中間値
・ 最大値
・ 制限値以上

• オーバーフローチェック2 - 大きい桁数の小数値の扱い。掛け算、割り算などで計算が正常におこなえない。必ず桁数を制限する。
• 文字コードチェック1 - 異なる文字コードが入力された場合の動作
• 文字コードチェック2 - UTF8等で「一つの文字で複数の表現を許す」様な場合に、予期しないシーケンスのエンコーディングが来たときに正しくエラーハンドリングしていること
• 文字数チェック
• 同一パラメータの数 - パラメータが存在しない、複数存在するような場合
• 入力を許す文字列のチェック = 正しく入力できること, 正しく入力できないこと

おまけ

• 再入力画面で文字化けをする場合に、処理の順序によってはXSSが発生するかも？ → 未確認。実装によっては危ないことがあるような気もしないでもないので、「ただの文字化け」と気を抜かない方がいいかもよ。

参考になるURL

perl - EncodeでXSSを防ぐ