[PHP-users 14167] Re: 文字数制限について

[Hideo NAKAMITSU]

On Fri, 21 Mar 2003 23:33:51 +0900
泉田隼人 <hayato@po1.dti2.ne.jp> wrote:

> 　泉田隼人です。
> 
> 的違いだったらごめんなさい。
> 
> 
> >strlen()に脆弱性があればstrlen($formdata)の時点で
> >危ないことも考えられるかもしれませんが，
> >
> >(未知の)危険度レベルは
> >その他の関数 >> strlen()
> 
> HTMLからの入力のことですよね？

その他の関数 = 
・phpの内部関数
・RDBMSなど(スクリプトから利用されるライブラリやアプリケーション)
などです．すみません．正確には内部関数のみではありません．

> つまりinput タブで入力したことを想定していますか？
> だとしたらmaxlengthで入力できる文字数を制限してしまう
> というのはどうでしょうか？
> 私もまだ駆け出しのプログラマですので、
> このぐらいしか思いつきません。

maxlengthを指定したとしてもクライアント側で偽造可能なため，
セキュリティというよりインターフェース的な制限を意味します．

最終的にはphp側で制限する必要があります．

/* -----------------------------------
Hideo NAKAMITSU <nomo@bluecoara.net>
http://solaris.bluecoara.net/
----------------------------------- */