[PHP-users 14168] Re: 納得 Re: 文字数制限について

akashi php-users@php.gr.jp
2003年 3月 21日 (金) 15:18:57 JST


ありがとうございます。

とりあえずphpの関数自体の脆弱性は考えず、
自分の中のデフォルト値のようなものを設定して、
それ以上のものははねてしまうというところで納得しときます。

みなさんありがとうございました。

p.s.
泉田隼人さんへ
NAKAMITSUさんも書いておられますが、
「Webから送信されるデータ」は「汚染されている」「他のサーバーから
悪意を持って送られている」と思って処理した方が良いようです。
自分が作ったページから送信されているとは限らないからです。

...というのを最近知りまして、一応自分のスクリプトもセキュリティ
向上を頭において作るようにし始めたのですが、どこまでやれば良いのやら。

「性悪説」で、不必要なタグ、コマンドの埋め込みや文字列長の制限は
どのような場合でも処置した方が良いようですよ。





PHP-users メーリングリストの案内