[PHP-users 2928] Re: FYI; from CERT/CC

[harikawa]

針川＠Soft-innです。
いつも参考にさせていただいています。

>   Vulnerability Note VU#847803
>   Php variables passed from the browser are stored in global context:
>   http://www.kb.cert.org/vuls/id/847803
> 
> 個人的には半分言いがかりのような気が...

うーーん、グローバル変数を初期化し忘れると確かにそういうことは起きる可
能性がありますね。
でも例に挙がっている include の場合だと初期化しないとエラーになるので、
テスト段階で気が付く、という気がします。

ブラウザから送られてくる値を直接ディレクトリ指定やコマンドとして扱わな
いというのも基本的な注意点ですから、それを守っていれば回避できるように
思います。

そういえば、クエリーストリングやフォームパーツなどは将来 $HTTP_GET_VARS 
や $HTTP_POST_VARS だけにするという話が以前、出ていたように思いますが、
これを避けるためでしょうね。

(((((((((   Soft-inn  針川英智  )))))))))
))))      http://www.softinn.to/     (((( 
(((         harikawa@softinn.to       )))
))))    Tel:0467-59-1003 Fax:1002    ((((
((((_______ 茅ヶ崎市共恵1-15-1 ______))))