[PHP-users 6305] Re: magic_quotes_gpc の設定

HAYAKAWA Hiroshi php-users@php.gr.jp
Tue, 19 Mar 2002 11:41:36 +0900


早川@名古屋です。

on 02.3.18 11:54 AM, Sunao Kiyosue at kiyosue@pictsys.com wrote:

> きよすえ@福岡です。

> たしかに
>> <万が一の場合>に、
>> データベースに問題が生じる可能性と、
>> 表示文字列がエスケープされたまま表示されるのと、
>> どちらが致命的かを考えると前者の方が致命的だと思いますので。
> だと思います。
> そのところは、やっぱり細心の注意と、テストをきちんとしていくしかないと考えてま
> す。
> データベースに問題が生じて問題がある場合には、
> きちんとinsertされたかと例外処理はするので特に問題ないと考えてます。
> 
> 
> ミスがあっても、たいていがクラスを通してないだけなので、
> テスト時に見つかります。
> いろいろ、考えて繁雑なプログラムになるとミスも見つけにくくなり
> 逆にバグの温床につながると思います。

どんなに注意を払ってもミスは起こり得ると思いますので、
ミスが起こったときに
いかに問題を最小限に食い止めるようにするかだと思いますが、
magic_quotes_gpcをオフにする場合は
エスケープ前の変数名とエスケープ後の変数名を変えるようにすると
いいのかもしれませんね。
されてる方はされてるのでしょうが。

僕はPHP3で register_globals=On の環境で学習しながら開発してきたため、
実にゆるいコードになっています。
(対クライアントの仕事ではありません。念のため)
いまそれをPHP4に移行している最中なので、なかなか厄介です。
学習のしやすさという点ではPHP3の頃の「緩さ」はよかったのですが、
いろいろ突き詰めていくと問題が出てきますね。

まだクラスを駆使するレベルにまでは届いていないのですが、
今後の参考にさせていただきます。
きよすえさん、しょうなりさん、ありがとうございました。


on 02.3.18 0:35 PM, しょうなり [ml] at ml@webappli.jp wrote:

> しょうなりです。

> ついでに、.htaccess では、PHPで include するファイルと
> いうことにしている拡張子 .inc / .ihtml について、
> 
> AddHandler php-script .inc .ihtml
> <Files ~ "\.(inc|ihtml)$">
> deny from all
> </Files>
> 
> として、ブラウザから直接ファイル名指定しても
> ソースが出力されないようにしてます。
> (AddHandlerうんぬんは、別に書かなくてもいいんですけどね)

僕はプログラム中で読み込むファイルなどは、
ドキュメントルートと同じ階層に
libというディレクトリをつくってそこに置くようにしています。
そうすればブラウザから参照されることはありませんし。

ディレクトリ作成等が自由になるサーバーでなければダメですけども。


-----
>>>  With your dreaming,           ☆彡  Hayakawa,Hiroshi          <<<
>>>          with your smile.    ☆彡    hayakawa@sam.hi-ho.ne.jp  <<<
>>>                            ☆彡      Nagoya,Aichi,JAPAN        <<<