Bruce.です。
T.Watanabe さんは書きました (2007/02/17 20:29):
> 入力をチェックしなくていいと言われたとは捉えていないのですが、結局判定
> は必要になるんじゃないのかということですね。
はいそうです。>判定が必要
サニタイズw はさておいても、外界からの入力が本当に受け入れていいものかどうかは、
この手のプログラムではチェックすべきものだと考えていますので。
マルチバイト文字を構成するパターンとしておかしいのなら、それはそのまま
「食べてはいけない」ものなのは明白だと思います。
> 自分の興味は要するに不正なデータが内部の動作で悪影響を与えるかどうかだ
> けでして。乱暴なことを言えば化けていても問題なく動いてりゃそれでいいわけ
> ですが、化けてるデータで正しく動くとは断言できないですしね。
まあ化けているデータが即悪意のあるデータの侵入を意味するものでもないでしょう
から、そういうスタンスもありだとは思います。
> 脱線ですが、調べると HTML の form には accept-charset という属性があっ
> て、ここで受付可能なエンコーディングを宣言することが可能なんですね。判定
> の精度の話は置いておくとして、不正なデータを不正と判断する根拠を先に明示
> することは可能なんだなぁということは分かりました。
ああそういえば。
ところで、フォームを含んだページをたとえばSJISで書いておいて、accept-charset
にSJISを含めていなかったらどうなるんだろうか。とか思ったり。
さらにそういえば。
PHPの「守護神」Suhosin:ITpro
http://itpro.nikkeibp.co.jp/article/COLUMN/20070214/261900/
PHPの中の人も大変ですね。と。
--
木村浩一
I thought what I'd do was, I'd pretend I was one of those deaf-mutes.
mail kbk@...
web www.kt.rim.or.jp/~kbk/zakkicho/
homepage3.nifty.com/farstar/
番号順一覧Top
スレッド順一覧Top
1980. Re: 文字コード周りの話 [T.Watanabe] 2007/2/17(20:29)
1982. Satisfy ディレクティブ [davi] 2007/2/20(18:03)
1980. Re: 文字コード周りの話 [T.Watanabe] 2007/2/17(20:29)