[PHP-users 7707] Re: フォームの値受け渡し

Yasuo Ohgaki php-users@php.gr.jp
Tue, 28 May 2002 15:27:42 +0900


大垣です。

多少誤解があるようなので、念の為ポストします。

>>Koji/*フォーム変数を自動的にグローバル変数にセットするためには、php.iniか.htaccess
>>Koji/*の中で、register_globalsをOnに設定しておく必要があります。
>>Koji/*ただし、この方法はセキュリティ上あまりお勧めできません。
>>セキュリティ上ということは、$_POST.を使うと、strip_tagsを利用すると同じ
>>ようなことになるということですか?

$_POST、$_GETを利用する事とstrip_tags()等を適切に利用する
ことは次元が異なります。

前者は内部変数の保護、後者はクロスサイトスクリプティングから
の保護を行ないます。

また、register_globals=Onで$_POST、$_GETを利用しても、
安全な実行環境、register_globals=Off、に移行する準備以外
の意味はありません。つまり、register_globals=Offに設定
しないと安全にはなりません。

# 別にregister_globals=Onでも安全なスクリプトは
# 書けますが、register_globals=Offの場合に比べて
# 遥かに難しいという事です。

とても書き切れないので、セキュリティーが気になる方は
ipaなどを参照される事をお勧めします。


--
Yasuo Ohgaki




__________________________________________________
Do You Yahoo!?
Yahoo! BB is Broadband by Yahoo!  http://bb.yahoo.co.jp/