TAMURA Toshihiko
tamur****@bitsc*****
2003年 9月 9日 (火) 09:57:24 JST
こんにちは、田村です。 砂田さん: > Register globalはオンになってないと機能しないようですが、 > これが安全かどうかについて少し心配性になっています。今後 > Register globalがオフでも機能するバージョンが出る可能性 > があるかどうかと、これがオンになっていてもそれほど心配な > いかどうか、ご指導よろしくお願いいたします。 register_globals=On の設定の危険の度合いは、 PHPスクリプトの書き方の問題なんです。 つまり、その設定で危険なスクリプトもあるし、 そうでないスクリプトもあるという意味で。 osCommeceの現状は、register_globals=Off で動かすことを 意識して書き換えは進んでいるけれども、 徹底はしていないというところです。 おそらくいちばん問題になりそうな「なりすまし」は、 セッション管理部分をきちんと書いていれば大丈夫だろうと みなしているんじゃないでしょうか。 ただ、セキュリティ問題は、99%のコードに問題がなくても 1%の穴をつかれたらアウトなので、一定の基準に沿った 書き方をしたいところですね。 日本語版でも佐藤さんが register_globals=Off で動く バージョンを作られています。 本家の方は、register_globals=Off で動かすことが 目標にあがっていますが、スケジュールはもっと先になる ようですね。 -- 田村敏彦 / 株式会社ビットスコープ E-mail:tamur****@bitsc***** http://www.bitscope.co.jp/