[PHP-users 14165] Re: 文字数制限について

Hideo NAKAMITSU php-users@php.gr.jp
2003年 3月 21日 (金) 14:23:11 JST


中満です.

On Fri, 21 Mar 2003 22:59:01 +0900
akashi <akc@mutt.freemail.ne.jp> wrote:

> すみません、追加で質問なのですが、
> 文字列長の問題で、シェルコマンドや外部プログラムを実行するとかではなく、
> 単にブラウザに入力された文字を表示(後にDBやテキストに保存)したい場合、
> オーバーフローをおこしかねないデーターを送ってこられたら、
> 文字列長を調べて大きすぎたらerrorを返したり、そのデータを破棄したり
> というような処理でよいのでしょうか。
> それとも、文字列長を比較しようとしたとき、既にセキュリティホールに
> なりかねないのでしょうか。

比較しないよりは,した方が良いかと思います.

> // $formdata 送信されたデータ
> $length = 1000;
> $strlength = strlen($formdata);  //ここで既にやばいとか?
> if ($strlength > $length)
> {
>    echo 'いたずらするな!';       //文句も言えない?
> }

strlen()に脆弱性があればstrlen($formdata)の時点で
危ないことも考えられるかもしれませんが,

(未知の)危険度レベルは
その他の関数 >> strlen()

でしょうから,チェックしておくのが妥当です.

/* -----------------------------------
Hideo NAKAMITSU <nomo@bluecoara.net>
http://solaris.bluecoara.net/
----------------------------------- */




PHP-users メーリングリストの案内