[PHP-users 14167] Re: 文字数制限について
Hideo NAKAMITSU
php-users@php.gr.jp
2003年 3月 21日 (金) 14:41:47 JST
On Fri, 21 Mar 2003 23:33:51 +0900
泉田隼人 <hayato@po1.dti2.ne.jp> wrote:
> 泉田隼人です。
>
> 的違いだったらごめんなさい。
>
>
> >strlen()に脆弱性があればstrlen($formdata)の時点で
> >危ないことも考えられるかもしれませんが,
> >
> >(未知の)危険度レベルは
> >その他の関数 >> strlen()
>
> HTMLからの入力のことですよね?
その他の関数 =
・phpの内部関数
・RDBMSなど(スクリプトから利用されるライブラリやアプリケーション)
などです.すみません.正確には内部関数のみではありません.
> つまりinput タブで入力したことを想定していますか?
> だとしたらmaxlengthで入力できる文字数を制限してしまう
> というのはどうでしょうか?
> 私もまだ駆け出しのプログラマですので、
> このぐらいしか思いつきません。
maxlengthを指定したとしてもクライアント側で偽造可能なため,
セキュリティというよりインターフェース的な制限を意味します.
最終的にはphp側で制限する必要があります.
/* -----------------------------------
Hideo NAKAMITSU <nomo@bluecoara.net>
http://solaris.bluecoara.net/
----------------------------------- */
PHP-users メーリングリストの案内