[PHP-users 32585] Re: PHP-users まとめ読み, 55 巻, 3 号

岡本 基 okamoto @ airnet.jp
2007年 9月 4日 (火) 18:34:14 JST


usagi123さん

岡本です。

"magic_quotes_gpc"は、まつやまさんもおっしゃる通り、
自分も百害あって一利なしだと思います。
そもそもなんでこんな機能があるかを考えてみたら如何でしょう?
軽く検証してみたら多分わかるかと。
ためしにフォームで「'」あたりを投げて、それを
var_dump($_REQUEST);
として確認してみるといいかもしれません。
余計な文字が入っているはずです。
もし正規表現に自身があるのであればいいのですが、
いちいち余計な文字を取り除く処理を作らなくてはなりません。
逆にOFFにした場合は、ファイルに吐き出したり、DBに格納するところで、
そういった危険文字(「'」等)をエスケープするだけで終わります。
いろいろアプリケーションを作成していけば、いかに無駄な事かがわかるかと。

ちなみにお使いのサーバーでは「.htaccess」の使用は出来ないのでしょうか?
もしできるのであれば、「.htaccess」に

<IfModule mod_php4.c>
    php_value magic_quotes_gpc               0
</IfModule>

と記述すればOFFに出来ます。

と言う事で。。。。。。

P.S
あと、標題は出来たら最初につけた「入力フォームでの文字化けについて」
を引き継ぐ方がいいかと・・・・
わけがわからなくなります。

On Tue, 4 Sep 2007 18:12:03 +0900
"nifty" <jza07356 @ nifty.ne.jp> wrote:

> まつやまさま
> 
> ありがとうございます。
> 
> > まつやまです。
> >
> > > 実行時にOFFにする方法がありましたら
> > > 教えていただきたいのですが
> > > よろしくお願いいたします。
> >
> > 少しはマニュアルを読みましょう。
> > http://jp2.php.net/manual/ja/security.magicquotes.php
> 
> 上記を読んだら
> 
>  magic_quotes_gpc
> 
> HTTPリクエストデータ(GET, POST, そして COOKIE)に作用します。 実行時に設定す
> ることはできません。 PHPのデフォルトは、onです。
> 
> と書いてありますが
> 
> 結局実行時には変更出来ないということでよろしいでしょうか。
> それとも全部読むと
> 裏技があるのでしょうか。
> 
> 先に別な人の投稿で
> magic_quotesをONにしておくと百害あって一利なしとしてOFFにした方がセキュ
> リティリスク対応が向上するように勧めていますが
> どうも、マニュアルを読むと、OFFにした方がリスクがアップするように読めるの
> ですが
> どちらなんでしょうか。
> 
> 
> 9/4usagi123
> 
> _______________________________________________
> PHP-users mailing list  PHP-users @ php.gr.jp
> http://ml.php.gr.jp/mailman/listinfo/php-users
> PHP初心者のためのページ - 質問する前にはこちらをお読みください
> http://oldwww.php.gr.jp/php/novice.php3

*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
 岡本 基
 Motoki Okamoto
 okamoto @ airnet.jp
 株式会社エアネット SIサービスグループ
 東京都品川区北品川1-10-4 Y.Bビル 4F
 ※引越ししました。
 TEL:03-6717-5710(代表)
    03-6717-5765(直通)
 FAX:03-6717-5711
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*



PHP-users メーリングリストの案内