[PHP-users 14165] Re: 文字数制限について

[Hideo NAKAMITSU]

中満です．

On Fri, 21 Mar 2003 22:59:01 +0900
akashi <akc@mutt.freemail.ne.jp> wrote:

> すみません、追加で質問なのですが、
> 文字列長の問題で、シェルコマンドや外部プログラムを実行するとかではなく、
> 単にブラウザに入力された文字を表示（後にＤＢやテキストに保存）したい場合、
> オーバーフローをおこしかねないデーターを送ってこられたら、
> 文字列長を調べて大きすぎたらerrorを返したり、そのデータを破棄したり
> というような処理でよいのでしょうか。
> それとも、文字列長を比較しようとしたとき、既にセキュリティホールに
> なりかねないのでしょうか。

比較しないよりは，した方が良いかと思います．

> // $formdata 送信されたデータ
> $length = 1000;
> $strlength = strlen($formdata);  //ここで既にやばいとか？
> if ($strlength > $length)
> {
>    echo 'いたずらするな!';       //文句も言えない？
> }

strlen()に脆弱性があればstrlen($formdata)の時点で
危ないことも考えられるかもしれませんが，

(未知の)危険度レベルは
その他の関数 >> strlen()

でしょうから，チェックしておくのが妥当です．

/* -----------------------------------
Hideo NAKAMITSU <nomo@bluecoara.net>
http://solaris.bluecoara.net/
----------------------------------- */