[PHP-doc 655] Re: mbstring の新関数のマニュアルについて

Rui Hirokawa rui_hirokawa @ ybb.ne.jp
2006年 9月 18日 (月) 21:51:51 JST


廣川です。

マニュアル整備頂きありがとうございます。 >高木さん

当方,マニュアルのフォローがすっかりおろそかになっていて
すみません。

> 
>> あと、(マニュアル通りで実害はありませんので)大したことではない
>> のかもしれませんが、mb_check_encoding() が引数なしで使用できます。
>> 引数なしで使用した場合、TRUE を返すだけになっています。
>> mb_check_encoding() を引数なしで使用するという状況が思い浮ばない
>> のですが、これは意図通りの仕様なのでしょうか?
>>
> これは……どうなんでしょうね。私にはちょっと判断できません。
> php-dev @ php.gr.jp に振ったほうがいいかも知れませんね。

これは不正なエンコーディング攻撃の検知に関する関数で,
mb_check_encoding()を引数なしで起動すると,リクエスト開始時から関数実行
までに,不正にエンコーディンされた文字が1文字以上あった場合にfalse,
それ以外の場合に,trueを返します。
これは,入力の自動エンコーディング変換やmb_convert_variables()を使用する
場合を想定しています。

ただし,エンコーディングの自動検出等で失敗したケースなどを想定すると,
攻撃の誤検出が予想され,テストも不十分なままとなっていました。

きちんとテストケースとか書かないとだめですね。。。






PHP-doc メーリングリストの案内