うわあ。先日書いた『Railsでは「ちゃんとしたWebアプリケーション」が簡単にできるんだろうか』という日記に対して、まつもとさんからのレスポンスが！もうこの時点でRuby大好きっ子になりかかってるどうせミーハーですよ私は。

で、本題については、「ちゃんとした」の定義をちゃんとしないといけなかったな、という印象。私の想定している「ちゃんとした」Webアプリは、IPAの「安全なウェブサイトの作り方」を最低でもクリアしているもの。

初心者が素のPHPでトライしたとしたら、まあ無理でしょうね。他にNullバイト攻撃なんてのもあるから、関数がバイナリセーフかどうかも意識しなきゃいけなかったりする。この辺はベテランだって意識しているかどうか怪しい。

ひるがえってRailsの場合どうかと考えると、素のPHPよりは確かにだいぶましなんだろうけど、テンプレート中の「h」を誤って消してXSS発生、なんてこともちょっとはあるんじゃないかな？そんなもの、消した人が悪いに決まってるんだけど、そんな細かいところまで含めてケアしているフレームワークがあれば良いなあ、と思いました。知らないだけかな。