早い話がグローバル変数なんか使ってんじゃねぇぞ、と
yohgaki's blog - PHPの現行リリースに重大な脆弱性(PHP4.4.0以下、PHP5.0.5以下)
一部それだけじゃないんだけど、
- register_globals
- $GLOBALS[]
- import_request_variables()
ともグローバルスコープの変数を使うという段階でイマドキどうなんだそれ、という話なわけで。
- スーパーグローバル変数を使って
- validation を通過したものをローカル変数に入れる
- あるいはローカル変数に持ってきてからでもちゃんとチェックする
っつ−手順を踏んでから使えと。グローバル変数はとにかくどこで何が起きるか分かんねーんだから、そんなもん使うなと。とりあえず E_ALL で書けと。