>>59
もちろんプログラムの対策を止めろという意味ではないが、

実際には「プログラムのコーディング規約」で対応しています。というレベルのベンダーがほとんとで
大きなベンダーなら「ソースコードレビュー」をやってちゃんとセキュリティ検証しているがそんな事は小さいところはやらない

またソースコードレビューやっててもリーダープログラマーが目視でコード確認するだけなので本当にプログラムで有効な対策ができているかを実証するには
セキュリティベンダーに依頼してインスペクション攻撃テスト依頼するしかない。

でもそんな費用がかかる事を実際にやる企業はあまりないでのWAFやIDS中心の対応が主になっているという事でしょう