"セキュリティスキル"の敷居の高さを読んでみて。
セキュリティ対策に完璧はありえないことを知ることが、完璧なセキュリティ対策だと思う。言い換えれば、無知の知。
「きちんとセキュアなコードを書けない人間」とは己の無知を知らない人間であり、逆に”専門家”であっても他人の批判ばかりに没頭しすぎて驕り高ぶっていると、「きちんとセキュアなコードを書けない人間」に片足を突っ込んでしまうことになりかねない。
そしてそれは、相手の批判を好意的に受け止めることでもある。セキュリティホールは誰でも作りうるのだから、批判されるのは自分ばかりじゃなく、また、批判されたことでホールが減るのだから、それは大変ありがたいことだ。
もちろん、自分もセキュアでないコードを書いている部分があるはずであり、常に注意をして少しでもその穴を減らすように気をつけることが大切だと思っている。
まあ、具体的に言えば、WEBアプリで言えばデータの出所を把握し、それが本当に安全なデータかを常に意識すること、ですかね。QUERY_STRINGはもちろん、Requestヘッダやそれから生成された環境変数、クッキー類、全て汚染されてる可能性があって安全じゃないってことで。