[PHP-users 11834] register_globals = on の危険性 (PHPバージョンによる相違)

Osamu Shigematsu php-users@php.gr.jp
Wed, 27 Nov 2002 11:36:17 +0900


重松です。こんにちは。

> > 推測の域で人をどうこういうのやめましょうよ。
> 
> 同感です。お互いのビジネスについて、片方しか登場してないのに
> ぼったくりとか悪質とかはちょっとなあ、と思ふ。

単に提示された情報を個人的に総合的に判断したに過ぎません。

少なくとも、問題 (register_globals = off) を製作会社は
把握していなかったと読み取れます。[PHP-users 11814]
 
それが真なら、問題もわからずに、「大規模な改修が必要」と
製作会社が主張した (クライアントはそう理解した) ことになります。

いずれにしても、特定の企業の非難が目的ではないですし、
技術的にも得るものがないので、終わりにします。

で、本質自体は、建設的な方向性の話だと思います。
こちらについては続けて問題ないでしょうか?

私は先のメールは、
register_globals = on が相手のスクリプトの内容、目的すら聞かないで、
off を推奨するほどそれが危険なら、その危険性が知りたい、
というのが趣旨です。

つまり、register_globals を off にしないと防げない攻撃に
どのようなものがあるのか、ということです。

私は、意図せず値が入っていることがあるから、
空であることを期待せず、また、渡された値も捏造されたり、
意図しない動作を引き起こすことを目的としたものが
含まれる可能性があるので、使う前には精査する必要があり、
そのことに留意していれば、register_globals = on でも、
たいした問題はないと思っています。

自身、改修せずに放置してあるスクリプトがまだありますので、
上記以外の留意点などありましたら、アドバイスをお願いします。

-- 
Osamu Shigematsu <m5issige@mr.hitachi-medical.co.jp>