[PHP-doc 656] Re: mbstring の新関数のマニュアルについて

[komura]

komura です。

On Mon, 18 Sep 2006 03:51:51 -0900
Rui Hirokawa <rui_hirokawa ＠ ybb.ne.jp> wrote:

> >> あと、(マニュアル通りで実害はありませんので)大したことではない
> >> のかもしれませんが、mb_check_encoding() が引数なしで使用できます。
> >> 引数なしで使用した場合、TRUE を返すだけになっています。
> >> mb_check_encoding() を引数なしで使用するという状況が思い浮ばない
> >> のですが、これは意図通りの仕様なのでしょうか？
> >>
> > これは……どうなんでしょうね。私にはちょっと判断できません。
> > php-dev ＠ php.gr.jp に振ったほうがいいかも知れませんね。
> 
> これは不正なエンコーディング攻撃の検知に関する関数で，
> mb_check_encoding()を引数なしで起動すると，リクエスト開始時から関数実行
> までに，不正にエンコーディンされた文字が1文字以上あった場合にfalse，
> それ以外の場合に，trueを返します。
> これは，入力の自動エンコーディング変換やmb_convert_variables()を使用する
> 場合を想定しています。

ご回答ありがとうございました。
そのように実装されていることを確認しました。
ぜひとも、マニュアルに記述しておいていただきたい情報ですね。


> ただし，エンコーディングの自動検出等で失敗したケースなどを想定すると，
> 攻撃の誤検出が予想され，テストも不十分なままとなっていました。
> 
> きちんとテストケースとか書かないとだめですね。。。

もし、必要でしたら何かお手伝いさせていただきます。

-- 
komura <komura ＠ ma9.seikyou.ne.jp>