[PHP-users 32585] Re: PHP-users まとめ読み, 55 巻, 3 号

[岡本 基]

ｕｓａｇｉ１２３さん

岡本です。

"magic_quotes_gpc"は、まつやまさんもおっしゃる通り、
自分も百害あって一利なしだと思います。
そもそもなんでこんな機能があるかを考えてみたら如何でしょう？
軽く検証してみたら多分わかるかと。
ためしにフォームで「'」あたりを投げて、それを
var_dump($_REQUEST);
として確認してみるといいかもしれません。
余計な文字が入っているはずです。
もし正規表現に自身があるのであればいいのですが、
いちいち余計な文字を取り除く処理を作らなくてはなりません。
逆にOFFにした場合は、ファイルに吐き出したり、DBに格納するところで、
そういった危険文字（「'」等）をエスケープするだけで終わります。
いろいろアプリケーションを作成していけば、いかに無駄な事かがわかるかと。

ちなみにお使いのサーバーでは「.htaccess」の使用は出来ないのでしょうか？
もしできるのであれば、「.htaccess」に

<IfModule mod_php4.c>
    php_value magic_quotes_gpc               0
</IfModule>

と記述すればOFFに出来ます。

と言う事で。。。。。。

P.S
あと、標題は出来たら最初につけた「入力フォームでの文字化けについて」
を引き継ぐ方がいいかと・・・・
わけがわからなくなります。

On Tue, 4 Sep 2007 18:12:03 +0900
"nifty" <jza07356 ＠ nifty.ne.jp> wrote:

> まつやまさま
> 
> ありがとうございます。
> 
> > まつやまです。
> >
> > > 実行時にＯＦＦにする方法がありましたら
> > > 教えていただきたいのですが
> > > よろしくお願いいたします。
> >
> > 少しはマニュアルを読みましょう。
> > http://jp2.php.net/manual/ja/security.magicquotes.php
> 
> 上記を読んだら
> 
>  magic_quotes_gpc
> 
> HTTPリクエストデータ(GET, POST, そして COOKIE)に作用します。 実行時に設定す
> ることはできません。 PHPのデフォルトは、onです。
> 
> と書いてありますが
> 
> 結局実行時には変更出来ないということでよろしいでしょうか。
> それとも全部読むと
> 裏技があるのでしょうか。
> 
> 先に別な人の投稿で
> magic_quotesをＯＮにしておくと百害あって一利なしとしてＯＦＦにした方がセキュ
> リティリスク対応が向上するように勧めていますが
> どうも、マニュアルを読むと、ＯＦＦにした方がリスクがアップするように読めるの
> ですが
> どちらなんでしょうか。
> 
> 
> 9/4ｕｓａｇｉ１２３
> 
> _______________________________________________
> PHP-users mailing list  PHP-users ＠ php.gr.jp
> http://ml.php.gr.jp/mailman/listinfo/php-users
> PHP初心者のためのページ - 質問する前にはこちらをお読みください
> http://oldwww.php.gr.jp/php/novice.php3

*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
　岡本　基
　Motoki Okamoto
　okamoto ＠ airnet.jp
　株式会社エアネット SIサービスグループ
　東京都品川区北品川1-10-4　Y.Bビル 4F
　※引越ししました。
　TEL：03-6717-5710(代表)
　　　 03-6717-5765(直通)
　FAX：03-6717-5711
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*