TAMURA Toshihiko
tamur****@bitsc*****
2003年 2月 17日 (月) 21:48:45 JST
こんにちは、田村です。 佐藤さん: > > また、osCommerce は本当に register_globals = ON で運用できる > > だけにセキュリティー対策がとられているのでしょうか。 > > コードを書き換えてみてわかったのですが、$HTTP_POST_VARSや > $HTTP_GET_VARSが多く使われていましたので、普通の変数($xxxx) > で受け渡しているプログラムよりは安全かと思います。 > あとはセッション変数をつかっている分、hiddenフィールドで値 > の受け渡しを行うよりは安全かな、と。 > > $REQUEST_METHODのチェックや、if ($HTTP_POST_VARS['name'] && > !$HTTP_GET_VARS['name'] && !$HTTP_COOKIE_VARS['name']) などの > 条件文、isset()によるチェックをきっちりすれば、より強固なプロ > グラムになるような気はします。 貴重な情報提供をありがとうございます。 osCommerceの本家でもregister_globalsについて 無視しているわけではないと思うんですが、 人のリソースの問題で後回しになっているのではないでしょうか。 佐藤さんが書かれているように、 実質的にはある程度対策が進んでいますし。 この問題では、周りの人間も開発者にせっついて、 何か有効な提案とか改善の方法を提供できればいいんですけどね。 -- 田村敏彦 / 株式会社ビットスコープ E-mail:tamur****@bitsc***** http://www.bitscope.co.jp/