[PHP-doc 656] Re: mbstring の新関数のマニュアルについて
komura
komura @ ma9.seikyou.ne.jp
2006年 9月 19日 (火) 00:03:53 JST
komura です。
On Mon, 18 Sep 2006 03:51:51 -0900
Rui Hirokawa <rui_hirokawa @ ybb.ne.jp> wrote:
> >> あと、(マニュアル通りで実害はありませんので)大したことではない
> >> のかもしれませんが、mb_check_encoding() が引数なしで使用できます。
> >> 引数なしで使用した場合、TRUE を返すだけになっています。
> >> mb_check_encoding() を引数なしで使用するという状況が思い浮ばない
> >> のですが、これは意図通りの仕様なのでしょうか?
> >>
> > これは……どうなんでしょうね。私にはちょっと判断できません。
> > php-dev @ php.gr.jp に振ったほうがいいかも知れませんね。
>
> これは不正なエンコーディング攻撃の検知に関する関数で,
> mb_check_encoding()を引数なしで起動すると,リクエスト開始時から関数実行
> までに,不正にエンコーディンされた文字が1文字以上あった場合にfalse,
> それ以外の場合に,trueを返します。
> これは,入力の自動エンコーディング変換やmb_convert_variables()を使用する
> 場合を想定しています。
ご回答ありがとうございました。
そのように実装されていることを確認しました。
ぜひとも、マニュアルに記述しておいていただきたい情報ですね。
> ただし,エンコーディングの自動検出等で失敗したケースなどを想定すると,
> 攻撃の誤検出が予想され,テストも不十分なままとなっていました。
>
> きちんとテストケースとか書かないとだめですね。。。
もし、必要でしたら何かお手伝いさせていただきます。
--
komura <komura @ ma9.seikyou.ne.jp>
PHP-doc メーリングリストの案内