[PHP-users 19131]Re: register_globals=Onはどの程度危険なのでしょう?
Kenji Ono
ono @ fjct.fujitsu.com
2003年 11月 26日 (水) 13:19:15 JST
小野といいます。
すみません。
そもそも、foo.php?valid=1、としてもサーバ側の値は「0」にしか
ならなかったのですが、「1」になりますか?
外からのアクセスで内部の変数を変えられてしまうとかなり厳しい
です。
> > この場合、$validの初期化がなくても、foo.php?valid=1として設定されるのは
> > 文字列の"1"であって数値の1ではないので、やはり$valid===1という条件は満た
> > されないようです。($valid==1という条件は満たされます)
> >
> > というわけで、「こうするべきだ」というコードを書いておけば自然にセキュア
> > なコードになるという例になってしまっているようで。
>
> こちらでも確認しましたが、岸田様のご説明通りの動作ですね。
> かさねがさね有難う御座います。
>
> -------------------------------安全なコード
> $valid = 0;
> if($validPassword === "drowssaP")
> $valid = 1;
>
> if ($valid === 1)
> print "認証が成功した場合に表示する";
>
> -------------------------------危険なコード
> if($validPassword == "drowssaP")
> $valid = 1;
>
> if ($valid == 1)
> print "認証が成功した場合に表示する";
>
>
> ----------
> 森 怜峰 <reo @ rucifer.ddo.jp>
> _______________________________________________
> PHP-users mailing list
> PHP-users @ php.gr.jp
> http://ns1.php.gr.jp/mailman/listinfo/php-users
>
TO:
お世話になっております、小野@FJCTです。
---
富士通キャドテック(株)
コーポレートシス事)ソリューションビジネスシステム部
小野 健二(Kenji ono)
電話:内7195-3824 / 外045-470-1085
メール:ono @ fjct.fujitsu.com
PHP-users メーリングリストの案内