[Tep-j-general] Re: 「register_globals = Off 」対応について

Back to archive index

TAMURA Toshihiko tamur****@bitsc*****
2003年 2月 17日 (月) 21:48:45 JST


こんにちは、田村です。

佐藤さん:
> > また、osCommerce は本当に register_globals = ON で運用できる
> > だけにセキュリティー対策がとられているのでしょうか。
> 
> コードを書き換えてみてわかったのですが、$HTTP_POST_VARSや
> $HTTP_GET_VARSが多く使われていましたので、普通の変数($xxxx)
> で受け渡しているプログラムよりは安全かと思います。
> あとはセッション変数をつかっている分、hiddenフィールドで値
> の受け渡しを行うよりは安全かな、と。
> 
> $REQUEST_METHODのチェックや、if ($HTTP_POST_VARS['name'] && 
> !$HTTP_GET_VARS['name'] && !$HTTP_COOKIE_VARS['name']) などの
> 条件文、isset()によるチェックをきっちりすれば、より強固なプロ
> グラムになるような気はします。

貴重な情報提供をありがとうございます。

osCommerceの本家でもregister_globalsについて
無視しているわけではないと思うんですが、
人のリソースの問題で後回しになっているのではないでしょうか。
佐藤さんが書かれているように、
実質的にはある程度対策が進んでいますし。

この問題では、周りの人間も開発者にせっついて、
何か有効な提案とか改善の方法を提供できればいいんですけどね。

--
田村敏彦 / 株式会社ビットスコープ
E-mail:tamur****@bitsc*****
http://www.bitscope.co.jp/




Tep-j-general メーリングリストの案内
Back to archive index