[PHP-users 11806] Re: PHPバージョンによる相違

IWASAKI Dai php-users@php.gr.jp
Tue, 26 Nov 2002 19:48:00 +0900


At Tue, 26 Nov 2002 19:10:51 +0900,
Daizoh Nakashima wrote:
> まず、数多くご指摘いただいた「register_globals」の件ですが、PHP
> は勉強不足でわかりませんが、Apacheはわかりますので、設定を変
> 更してみたところ、見事に正常動作しました。
> 
> 制作会社にはこれから報告しようと思っているところですけど、結構複雑
> な心境です。激しく非難する気はありませんが、少なくとも「大規模な改
> 修」は必要なかったという事実は否めません…。

制作会社が、resigter_globals=Onにするだけを指して「大規模な変更」と
呼んでいたらひどい話ですが、register_globals=Offにしても動作するよう
にスクリプトを変更することを指していたのだとしたら、改修は必要です。

> また調べてみると、この変更点はセキュリティ向上を目的とした変更だと
> いうことですから、言い換えるとそれによって動かないということはセキ
> ュリティをあまり意識して作られていなかったということですよね?

Nakashimaさんご自身そのスクリプトをコストをかけてでもセキュアにしたい
のか、コストがかかるのならセキュアにしなくてもいいのかがイマイチわかり
ません。

せっかくPHPのdefaultをresister_globals=Offにして制作会社もそれに合う
ように改修をしようと考えている(この部分は想像です)、それをご自身では
resister_globals=On に戻して、過去のスクリプトを改修せずに使おうとして
いらっしゃるのではセキュリティをあまり重要視していないのではないで
しょうか。

この話全般的にNakashimaさんと制作会社との間できちんとしたコミュニケー
ションがとれていないのが一番の問題ではないかと思います。


---
To infinity and beyond...
いわさきだい  <dai@tristan.jp>