[PHP-users 29852] Re: LDAP認証でWarningをださない方法

[kondo]

近藤です。

少し前の話で、
Subject: [PHP-users 29625] Re:LDAP認証でWarningをださない方法
> 近藤です。
>
>> 近藤 様
>>
>> あっ！ テスト用の手抜きソースですので、その他の問題はご勘弁ください。
>> ただ、$_POSTを直接使うと、どういう問題があるのですか？
>
> ldap_bindで使うぶんには、悪いことが思いつきませんが、
> DBのSQLにつかったり、HTMLとして表示したりする部分に
> 悪意の入力値が入ってたセキュリティ上良くないことが起こります。
> まー、私がえらそうなことはいえませんが、「PHPサイバーテロ技法」という本
> なんかの読むと、いろいろと注意しないといけないんだなと思いました。
> その基本としてサニタイズって必要なんだと、感じたわけです。
> 詳しくは、上記本を読んだり、SQLインジェクション、サニタイズなどで
> 検索するといいかと．．．

というのを書いたのですが、認証時のパスワードに関しては、サニタイズすると
問題起こることがあることが判明しました。
というのも、私のところでLDAP認証のプログラムを作って、試運用して
2週目ですが、「&」等をパスワードに使っている人がいると、「&」が「&」に
サニタイズされて認証エラーを起こすという問題に遭遇しました。
ということで、[PHP-users 29618] のコードでサニタイズしていないのは
正解でした。
（野村さん間違った突っ込み入れて済みませでした。）

サニタイズも使う必要のあるところと無いところを見極める必要があるという
教訓になりました。