[PHP-users 14167] Re: 文字数制限について

Hideo NAKAMITSU php-users@php.gr.jp
2003年 3月 21日 (金) 14:41:47 JST


On Fri, 21 Mar 2003 23:33:51 +0900
泉田隼人 <hayato@po1.dti2.ne.jp> wrote:

>  泉田隼人です。
> 
> 的違いだったらごめんなさい。
> 
> 
> >strlen()に脆弱性があればstrlen($formdata)の時点で
> >危ないことも考えられるかもしれませんが,
> >
> >(未知の)危険度レベルは
> >その他の関数 >> strlen()
> 
> HTMLからの入力のことですよね?

その他の関数 = 
・phpの内部関数
・RDBMSなど(スクリプトから利用されるライブラリやアプリケーション)
などです.すみません.正確には内部関数のみではありません.

> つまりinput タブで入力したことを想定していますか?
> だとしたらmaxlengthで入力できる文字数を制限してしまう
> というのはどうでしょうか?
> 私もまだ駆け出しのプログラマですので、
> このぐらいしか思いつきません。

maxlengthを指定したとしてもクライアント側で偽造可能なため,
セキュリティというよりインターフェース的な制限を意味します.

最終的にはphp側で制限する必要があります.

/* -----------------------------------
Hideo NAKAMITSU <nomo@bluecoara.net>
http://solaris.bluecoara.net/
----------------------------------- */




PHP-users メーリングリストの案内