早い話がグローバル変数なんか使ってんじゃねぇぞ、と

yohgaki's blog - PHPの現行リリースに重大な脆弱性(PHP4.4.0以下、PHP5.0.5以下)

一部それだけじゃないんだけど、

  • register_globals
  • $GLOBALS[]
  • import_request_variables()

ともグローバルスコープの変数を使うという段階でイマドキどうなんだそれ、という話なわけで。

  • スーパーグローバル変数を使って
    • validation を通過したものをローカル変数に入れる
    • あるいはローカル変数に持ってきてからでもちゃんとチェックする

っつ−手順を踏んでから使えと。グローバル変数はとにかくどこで何が起きるか分かんねーんだから、そんなもん使うなと。とりあえず E_ALL で書けと。

More