読者です 読者をやめる 読者になる 読者になる

サニタイズいうなキャンペーンをもう一度

JSPで変数の出力部分でjstlのc:outとescapeXMLしているのを指摘して、ユーザーからの入力はActionについた時点で<と>は<と>に変換されてます、DBにもその形で入ってますから、出力時にescapeしないでください。って言われた。

いや出力の際にその出力先に合わせてエスケープするものでしょって言ったら、出力のときにエスケープするのは理想でそれはコストが高い、入力したものはエスケープされてるんだからそれでいいじゃない。って言われた。”と&はエスケープしてないのに。

追撃ちをかけるように、他の人はそんなのしてません。JSPみてもc:outつかって書いてるの貴方だけでJSP7枚だけですよ。って言われて、「むしろ、その事を恥に思えよ。」って言ったら、他のページを全部直すよりコスト安いでしょう。って、言われた。JSPの総数なんて30枚くらいのシステムなのに。

休日出勤でもいいから、他の人のJSPも全部直そう、なんなら俺1人でもやると提案したら、終わらないと思うと言われて、月曜はエスケープを外す作業ですよ。ホントかよ。。。

エスケープを外す作業はしますけど、この変更の責任は負いたくないので、もしバグがあがっても、僕は対応しませんと言い放ってはみた。
なんというか、なんで俺は子供のような物言いしかできないんだろうと後悔するんだけど、そんなのにつきあってらんないよというのも正直な感想。

以上、愚痴でした。