[PHP-users 16613]Re: Webブラウザからの引数？の取り込み

[Osamu Shigematsu]

重松です。こんにちは。

> 特に意識しなくても <? print '$test'; ?> が使えたと思います。php.iniの
> 記述を

だと、'$test' と表示されます。
'' と "" との意味の違いを確認してください。

> register_globals=on
> 
> にすれば、同じように使えると思います。

不便になる (設定を変えたり、コードを変えたりする必要が生じるから) のに
そういう仕様変更がなされたのにはそれなりの理由があるはずですよね?

> ただ、PHP 4.2.0以降から仕様が変わったのには意味があるようです。
> 私も詳しくは理解できてはいませんので、明確な事はいえないのですがセキュリ
> ティ上の問題だと思います。

というわけで、ビンゴ。セキュリティ上の理由です。

例えば、

	http://example.com/xss.php?test=穴だらけ

とかやれば、それで値が入ってしまいます。

初期化を忘れたりというちょっとしたミスで、
大きな被害を受ける可能性が拭い去れないので、
Off になったのです。

だから、ON にするのは、リスクを理解してからでも遅くはないと思います。

-- 
Osamu Shigematsu <m5issige ＠ mr.hitachi-medical.co.jp>