[PHP-users 18532]Re: 変数に格納したヒアドキュメント(解

YAMADA Satoshi s-yamada-php-users @ dotaster.com
2003年 10月 21日 (火) 12:22:20 JST


山田@神戸です。

| Date: Tue, 21 Oct 2003 09:09:30 +0900
| From: Osamu Shigematsu <m5issige @ mr.hitachi-medical.co.jp>
| Subject: [PHP-users 18531] Re: 変数に格納したヒアドキュメント(解
| Message-Id: <20031021084325.522B.M5ISSIGE @ mr.hitachi-medical.co.jp>
+---------------------------------------------------------------
| で、eval についてですが、問題は、
| > したがって、重松さんや冨田さんのご指摘にあるような、
| > クロスサイトスクリプティング等の攻撃を受ける危険性とは(ほぼ)無縁ですし、
| > 加えて、評価対象となるテキストファイルは、サーバの設定によって外部からのアクセスを拒否するなり、
| > そもそも DocumentRoot の外に出すなりして、変数自体も晒さない、といった防御は施しています。
| ということを誰でもできるか、ということです。
| つまり、上記のような対策をきちんとできる (する必要があると気づく)
| かもしれませんが、そうでないかもしれません。
| 何でもできるということは、意図しない動作が行われないように留意して
| コードを書かないといけない、ということなので、ならば、
| 最初からそれしかできない方法を使うほうが、楽だと思います。

ですね。そういう意味では安易に(何の説明もなしに) eval() を
引っ張り出してきて少し軽率だったかなと反省しています。
# まぁこれだけ盛り上がったんだからよしとしてください _o_

ところで個人的に以前から気になっていたのですが、

| もともとの質問にはそのようなことは書かれていないので、
| あくまでも個人的な解釈の域を抜けないと思いますが、

結構こういうこと多いですよね。

仕事用の場合はやはりある程度実績のある手法やライブラリなどを
勧めた方がいいでしょうし、個人で勉強という場合には逆に自分で
ゴリゴリ書いてみて一つ一つ学んでいく方が理解が早いこともあるでしょうし。

質問者の方も開発環境だけでなく、何のためにやってるのかってのを
書いていたただけると答える方もポイント絞れていいかもしれません。
-- 
YAMADA Satoshi
mailto:s-yamada @ dotAster.com
http://www.dotAster.com/~s-yamada/



PHP-users メーリングリストの案内