[PHP-users 10908] Re: PHP4.3.0pre1 Released!!
KEntarou isHImaru
php-users@php.gr.jp
Thu, 17 Oct 2002 08:54:18 +0900
kehiです。ご無沙汰でございます。
単なる一意見ですが。。。
On Wed, 16 Oct 2002 15:51:39 +0900
Masaki Fujimoto <fujimoto@studio.co.jp> wrote:
> % cvs log sapi/apache/mod_php4.c
> -snip-
> ----------------------------
> revision 1.133
> date: 2002/06/13 22:13:57; author: sniper; state: Exp; lines: +2 -2
> @- Fixed bug with Apache which let PHP_AUTH_* variables to be set when
> @ external basic auth mechanism was used. (Jani)
>
> Fixes bugs: #16653, #14534, #14370
> ----------------------------
>
> これのせいかと思います。このバグレポートはまだ見てませんが、PHP外部で認
> 証したときにパスワードまで見ることが出来るのはどうか?ということでしょう
> か。
>
> apacheなら、$_SERVER['REMOTE_USER']でユーザ名は取れるのでそちらで何とか
> しろということかと思います。
>
> # これで困ってしまう方は結構いるのかな?
私はApacheのBasic認証をよく使うのですが、
$_SERVER["PHP_AUTH_USER"] ならまだしも、
なぜ$_SERVER["PHP_AUTH_PW"]にApacheのBasic認証で入力した値が
セットされてしまうのか不思議でした。
それがphpinfo()でも表示されるのがいつも気持ち悪かったので、
今回の変更はそれをBugFixとしたのだと解釈しました。
ちなみにApacheのBasic認証であれば、アクセス制御配下へのアクセスであれば
Apacheの方で毎回認証のロジックが走っているはずなので、
たとえアプリケーション側で$_SERVER['REMOTE_USER']だけのチェックに
なったとしてもIDのみのチェックではない
(パスワードが無視されているわけではない)ので特に問題はないと
思っています。ApacheのBasic認証以外の他の認証方法までは存じませんが。
#ちなみにPHP Version 4.3.0-devでは、まだ外部の認証の値がセットされて
#いることを確認しているので、おそらく-pre1からこのように仕様変更したの
#だと思います。
***********************************************
* kehi means (KEntarou_isHImaru)
* E-Mail:kentarou_ishimaru@fuji-ric.co.jp (Job)
* web :http://kehi.yi-web.ne.jp/
***********************************************