アカウント名:
パスワード:
ソースレベルでの機能に関してはソースを書き直しで対処できるけどセーフモードの削除となったから今後レンタルサーバはセキュリティーを確保するためにCGIモードでPHPを動かすって選択になるのかな?それかmod_suPHPの方を使えって事ですかね。
後はマジッククオートが削除されたから自分でソースレベルでしっかり書いてセキュリティー対処しろと言うことですね。
マジッククオートなんてセキュリティ対策にもならんて。
SQL インジェクション対策の最低限の所を自動でやってくれる
というか君、マジッククォートって何か知らないでしょ。知ったかぶりは駄目だよ。
Magic Quotes がセキュリティ対策として論外なのはもはや常識の範疇だと思うのだけど
でも自前でマジッククオートと同じような処理は自前で結局はやる必要が最低限ある。
magic quotes が効くのは所詮入力がブラウザ(UA)で、かつ出力がSQLの時だけ。しかも行われるのはサニタイズだからちょっと文字列を加工した瞬間に危険な文字列になりえる。もちろん、別途ファイルから読んできたデータなり、どこか(典型的にはネットワーク)からとってきたデータはすべて危険な状態。中途半端に対応してるつもりになるくらいだったら最初から全部危険な文字列として取り扱った方が安全。SQL組み立てる(プレースホルダやSQLビルダを含む)時にこの文字列は危険、この文字列は安全なんて識別するの無理でしょ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
こんどこそ大丈夫なんですよね? (スコア:1)
Re: (スコア:0)
ソースレベルでの機能に関してはソースを書き直しで対処できるけどセーフモードの削除となったから今後レンタルサーバはセキュリティーを確保するために
CGIモードでPHPを動かすって選択になるのかな?
それかmod_suPHPの方を使えって事ですかね。
後はマジッククオートが削除されたから自分でソースレベルでしっかり書いてセキュリティー対処しろと言うことですね。
Re: (スコア:0)
マジッククオートなんてセキュリティ対策にもならんて。
Re: (スコア:0)
SQL インジェクション対策の最低限の所を自動でやってくれる
というか君、マジッククォートって何か知らないでしょ。
知ったかぶりは駄目だよ。
Re: (スコア:0)
Magic Quotes がセキュリティ対策として論外なのはもはや常識の範疇だと思うのだけど
Re: (スコア:0)
でも自前でマジッククオートと同じような処理は自前で結局はやる必要が最低限ある。
Re:こんどこそ大丈夫なんですよね? (スコア:0)
magic quotes が効くのは所詮入力がブラウザ(UA)で、かつ出力がSQLの時だけ。
しかも行われるのはサニタイズだからちょっと文字列を加工した瞬間に危険な文字列になりえる。
もちろん、別途ファイルから読んできたデータなり、どこか(典型的にはネットワーク)からとってきたデータはすべて危険な状態。
中途半端に対応してるつもりになるくらいだったら最初から全部危険な文字列として取り扱った方が安全。
SQL組み立てる(プレースホルダやSQLビルダを含む)時にこの文字列は危険、この文字列は安全なんて識別するの無理でしょ。