[PHP-users 14165] Re: 文字数制限について
Hideo NAKAMITSU
php-users@php.gr.jp
2003年 3月 21日 (金) 14:23:11 JST
中満です.
On Fri, 21 Mar 2003 22:59:01 +0900
akashi <akc@mutt.freemail.ne.jp> wrote:
> すみません、追加で質問なのですが、
> 文字列長の問題で、シェルコマンドや外部プログラムを実行するとかではなく、
> 単にブラウザに入力された文字を表示(後にDBやテキストに保存)したい場合、
> オーバーフローをおこしかねないデーターを送ってこられたら、
> 文字列長を調べて大きすぎたらerrorを返したり、そのデータを破棄したり
> というような処理でよいのでしょうか。
> それとも、文字列長を比較しようとしたとき、既にセキュリティホールに
> なりかねないのでしょうか。
比較しないよりは,した方が良いかと思います.
> // $formdata 送信されたデータ
> $length = 1000;
> $strlength = strlen($formdata); //ここで既にやばいとか?
> if ($strlength > $length)
> {
> echo 'いたずらするな!'; //文句も言えない?
> }
strlen()に脆弱性があればstrlen($formdata)の時点で
危ないことも考えられるかもしれませんが,
(未知の)危険度レベルは
その他の関数 >> strlen()
でしょうから,チェックしておくのが妥当です.
/* -----------------------------------
Hideo NAKAMITSU <nomo@bluecoara.net>
http://solaris.bluecoara.net/
----------------------------------- */
PHP-users メーリングリストの案内