早い話がグローバル変数なんか使ってんじゃねぇぞ、と
yohgaki's blog - PHPの現行リリースに重大な脆弱性(PHP4.4.0以下、PHP5.0.5以下)
一部それだけじゃないんだけど、
- register_globals
- $GLOBALS[]
- import_request_variables()
ともグローバルスコープの変数を使うという段階でイマドキどうなんだそれ、という話なわけで。
- スーパーグローバル変数を使って
- validation を通過したものをローカル変数に入れる
- あるいはローカル変数に持ってきてからでもちゃんとチェックする
っつ−手順を踏んでから使えと。グローバル変数はとにかくどこで何が起きるか分かんねーんだから、そんなもん使うなと。とりあえず E_ALL で書けと。
More
Recent Posts
- » ものぐささんのためのTypeScriptを使いつつGASでも使えるライブラリ開発環境
- » quickjs.rbでRubyの環境からJavaScriptのロジック(I/Oのないコード)の動作結果を得る
- » kintoneからエクスポートしたCSVデータの変換ライブラリを作ってみた
- » MCPメモ
- » Mermaidの大きすぎる余白を調整する方法の一例
- » LLMアプリをLLMを使いながら作ってみた
- » Gemini Advancedでもうゲームが変わっていた
- » 今さらLLMのモデルの違いとプロンプトエンジニアリングについて
- » Bundler環境でIRBでもLSPでもドキュメントを利用する方法
- » Ruby 3.2と3.3のirb historyの扱いの違いと対処方法