[PHP-users 32585] Re: PHP-users まとめ読み, 55 巻, 3 号
岡本 基
okamoto @ airnet.jp
2007年 9月 4日 (火) 18:34:14 JST
usagi123さん
岡本です。
"magic_quotes_gpc"は、まつやまさんもおっしゃる通り、
自分も百害あって一利なしだと思います。
そもそもなんでこんな機能があるかを考えてみたら如何でしょう?
軽く検証してみたら多分わかるかと。
ためしにフォームで「'」あたりを投げて、それを
var_dump($_REQUEST);
として確認してみるといいかもしれません。
余計な文字が入っているはずです。
もし正規表現に自身があるのであればいいのですが、
いちいち余計な文字を取り除く処理を作らなくてはなりません。
逆にOFFにした場合は、ファイルに吐き出したり、DBに格納するところで、
そういった危険文字(「'」等)をエスケープするだけで終わります。
いろいろアプリケーションを作成していけば、いかに無駄な事かがわかるかと。
ちなみにお使いのサーバーでは「.htaccess」の使用は出来ないのでしょうか?
もしできるのであれば、「.htaccess」に
<IfModule mod_php4.c>
php_value magic_quotes_gpc 0
</IfModule>
と記述すればOFFに出来ます。
と言う事で。。。。。。
P.S
あと、標題は出来たら最初につけた「入力フォームでの文字化けについて」
を引き継ぐ方がいいかと・・・・
わけがわからなくなります。
On Tue, 4 Sep 2007 18:12:03 +0900
"nifty" <jza07356 @ nifty.ne.jp> wrote:
> まつやまさま
>
> ありがとうございます。
>
> > まつやまです。
> >
> > > 実行時にOFFにする方法がありましたら
> > > 教えていただきたいのですが
> > > よろしくお願いいたします。
> >
> > 少しはマニュアルを読みましょう。
> > http://jp2.php.net/manual/ja/security.magicquotes.php
>
> 上記を読んだら
>
> magic_quotes_gpc
>
> HTTPリクエストデータ(GET, POST, そして COOKIE)に作用します。 実行時に設定す
> ることはできません。 PHPのデフォルトは、onです。
>
> と書いてありますが
>
> 結局実行時には変更出来ないということでよろしいでしょうか。
> それとも全部読むと
> 裏技があるのでしょうか。
>
> 先に別な人の投稿で
> magic_quotesをONにしておくと百害あって一利なしとしてOFFにした方がセキュ
> リティリスク対応が向上するように勧めていますが
> どうも、マニュアルを読むと、OFFにした方がリスクがアップするように読めるの
> ですが
> どちらなんでしょうか。
>
>
> 9/4usagi123
>
> _______________________________________________
> PHP-users mailing list PHP-users @ php.gr.jp
> http://ml.php.gr.jp/mailman/listinfo/php-users
> PHP初心者のためのページ - 質問する前にはこちらをお読みください
> http://oldwww.php.gr.jp/php/novice.php3
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
岡本 基
Motoki Okamoto
okamoto @ airnet.jp
株式会社エアネット SIサービスグループ
東京都品川区北品川1-10-4 Y.Bビル 4F
※引越ししました。
TEL:03-6717-5710(代表)
03-6717-5765(直通)
FAX:03-6717-5711
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
PHP-users メーリングリストの案内