[PHP-users 11807] Re: PHPバージョンによる相違
しょうなり [ml]
php-users@php.gr.jp
Tue, 26 Nov 2002 19:55:34 +0900
しょうなりです。
いちおう製作会社を弁護しますね。
Daizoh Nakashima さんは書きました:
>まず、数多くご指摘いただいた「register_globals」の件ですが、PHP
>は勉強不足でわかりませんが、Apacheはわかりますので、設定を変
>更してみたところ、見事に正常動作しました。
>
>制作会社にはこれから報告しようと思っているところですけど、結構複雑
>な心境です。激しく非難する気はありませんが、少なくとも「大規模な改
>修」は必要なかったという事実は否めません…。
register_globals による修正を .htaccess ではなく
スクリプトのほうに行おうと思うと、大修正になる可能性があります。
(コンテンツの規模によります。やりとりするデータ(POST変数)が
100もあるサイトであれば本当に大修正になります)
製作する側としては、.htaccess による修正はあくまで一時的な処置だと
受け止めてほしいです。今後この問題によるセキュリティを突いた攻撃を
受けた場合に、依頼者側も製作者側も困ることになるからです。
# 念のため。
# register_globals のセキュリティ問題は、それがそのまま攻撃対象に
# なるかどうかは、一概に言えません。それはスクリプトを作った側が
# よくわかっている*はず*です。
>また調べてみると、この変更点はセキュリティ向上を目的とした変更だと
>いうことですから、言い換えるとそれによって動かないということはセキ
>ュリティをあまり意識して作られていなかったということですよね?
今までPHPは(PHPの書籍は?)この問題について、
製作するのに「簡単」で「便利」だとうたっていました。
それが近年になってセキュリティ的に問題があるのでは、
とわかったわけです。
この問題を挙げて「御社のプログラムは問題がある」と責めるのは
どうかと思います。
また、無料で修正してよ、というのも無理があると思います。
(Nakashima さんがされたように、 .htaccess を置くくらいなら
無料でしてくれるでしょうが)
確かに製作会社側の説明不足は否めません。
先方の説明を再度聞いて対応されることをお勧めします。
--
print <<<SIGNATURE
しょうなり@信州 肥田昌也
Email: shounari@webappli.jp
HomePage: http://www.webappli.jp/ => JSlayout 評価版
SIGNATURE;