[PHP-users 10908] Re: PHP4.3.0pre1 Released!!

[KEntarou isHImaru]

kehiです。ご無沙汰でございます。
単なる一意見ですが。。。

On Wed, 16 Oct 2002 15:51:39 +0900
Masaki Fujimoto <fujimoto@studio.co.jp> wrote:

> % cvs log sapi/apache/mod_php4.c
> -snip-
> ----------------------------
> revision 1.133
> date: 2002/06/13 22:13:57;  author: sniper;  state: Exp;  lines: +2 -2
> @- Fixed bug with Apache which let PHP_AUTH_* variables to be set when
> @  external basic auth mechanism was used. (Jani)
> 
> Fixes bugs: #16653, #14534, #14370
> ----------------------------
> 
> これのせいかと思います。このバグレポートはまだ見てませんが、PHP外部で認
> 証したときにパスワードまで見ることが出来るのはどうか？ということでしょう
> か。
> 
> apacheなら、$_SERVER['REMOTE_USER']でユーザ名は取れるのでそちらで何とか
> しろということかと思います。
> 
> # これで困ってしまう方は結構いるのかな？

私はApacheのBasic認証をよく使うのですが、
$_SERVER["PHP_AUTH_USER"] ならまだしも、
なぜ$_SERVER["PHP_AUTH_PW"]にApacheのBasic認証で入力した値が
セットされてしまうのか不思議でした。
それがphpinfo()でも表示されるのがいつも気持ち悪かったので、
今回の変更はそれをBugFixとしたのだと解釈しました。

ちなみにApacheのBasic認証であれば、アクセス制御配下へのアクセスであれば
Apacheの方で毎回認証のロジックが走っているはずなので、
たとえアプリケーション側で$_SERVER['REMOTE_USER']だけのチェックに
なったとしてもIDのみのチェックではない
（パスワードが無視されているわけではない）ので特に問題はないと
思っています。ApacheのBasic認証以外の他の認証方法までは存じませんが。

＃ちなみにPHP Version 4.3.0-devでは、まだ外部の認証の値がセットされて
＃いることを確認しているので、おそらく-pre1からこのように仕様変更したの
＃だと思います。

***********************************************
* kehi means (KEntarou_isHImaru)
* E-Mail:kentarou_ishimaru@fuji-ric.co.jp (Job)
* web :http://kehi.yi-web.ne.jp/
***********************************************