モジュール開発のタブー

suin2005年3月18日

いろいろな方が公式フォーラムなどで、セキュリティーの視点からモジュール開発で注意すべき点について言及していますが、いったいどれくらいのタブーが存在するのでしょうか。

私の見つけた限りでは、
・数値型はintval()をかける。
・includeよりrequire？
・foreach()やextract()で$_GETや$_POSTなどを展開してはいけない。
・queryFはGETの時にもSELECT以外のクエリを送るので必要が無い限りqueryにする。
・$_GETや$_POSTなどのtrimは無駄？
・(ブラウザやSQLなどで)出力する前には必ず$myts
・インクルードされるファイルの頭にはif (!defined('XOOPS_ROOT_PATH')) exit();

細かく書けばもっと出てきたり、書いていないことも沢山あると思われます。

XOOPSモジュール開発を始める人のための4冊
一部のモジュールの配布終了のお知らせ
モジュールアップデートに便利なプリロードRapidModuleUpdate
Searchモジュールに転送するpreload
Duplicatableモジュール実験
特定のモジュールの一般設定情報を引き出す
Iframe 1.00
XOOPSで特定のモジュールの一般設定を取得する
Cyworld PHP API
Shioriモジュールのワンクリックブックマーク機能