[PHP-users 11808] Re: PHPバージョンによる相違
Masashi Ohba
php-users@php.gr.jp
Tue, 26 Nov 2002 20:01:34 +0900
大場です。
Daizoh Nakashima wrote;
>まず、数多くご指摘いただいた「register_globals」の件ですが、PHP
>は勉強不足でわかりませんが、Apacheはわかりますので、設定を変
>更してみたところ、見事に正常動作しました。
>
>制作会社にはこれから報告しようと思っているところですけど、結構複雑
>な心境です。激しく非難する気はありませんが、少なくとも「大規模な改
>修」は必要なかったという事実は否めません…。
それは、せっかく鎧を着た状態で、鎧を着たまま生活できるように
調整する必要がある世の中になったにもかかわらず、
あなたは「鎧は邪魔だ」と裸で表を歩いてる状態に、
自分からすすんでなったに過ぎません。
勉強した上で理解ができているなら、裸で歩く自由も
あるわけなので、そのことを自覚してるならば
誰も咎めませんし、「必要無い」と思うのも自由ですけど。
#ただ、そのようにはあまり思えませんが
大規模かどうか別にして、普通なら「要修正」な案件で
PHPのアップデートに作成業者が関与して無いならば
「修正が必要です、料金が発生します」というのは普通の話です。
>また調べてみると、この変更点はセキュリティ向上を目的とした変更だと
>いうことですから、言い換えるとそれによって動かないということはセキ
>ュリティをあまり意識して作られていなかったということですよね?
裸で表を歩いても問題無い「古き良き時代」に作られたわけです。
その時に「裸は危険だ」と回りが果たして思うかどうか…
その時代に鎧を着ててもよかったわけですが
どれだけ保護すれば(コストをかける)安全かという話は
時代や回りの状態で変化します。
だからこそ、register_globalsのデフォルトの設定を変更する
理由があったからOFFになったわけです。
また、最近出た、PHP4徹底攻略改訂版は「register_globals=OFF」を
前提に書かれていますが、世の中に出まわっているPHPに関する本の大
部分は、おそらく、この「古き良き時代」のものがほとんどですが
その著者すべてが「セキュリティ意識が低い」と言えるかどうか…
------------------------------------------------------------
大場正志(Masashi Ohba)
E-Mail ohba@intelight.co.jp
(株) インテライト
http://www.intelight.co.jp
------------------------------------------------------------