Zazelです。
=== kbk@... (Bruce.) さんが書かれた
=== <20070606084453.589C97CC024@...> にて
> > また,グローバル変数でなくスーパーグローバル変数を使うことでも問題は回避できる。
>
> なんでスーパーグローバル変数を使うと問題が回避できるのでしょうか?
> 知っている人がいたら解説をお願いします。
校正していないようなわかりづらい記事ですが、例としてWebCalendar が
例示されているところから考えると、
「グローバル変数を使う」→「register_globals = On」な環境で
初期化してない変数があると、値を外部から自由に流し込める。
辺りではないかと。
WebCalendar “includedir” Remote PHP File Inclusion Vulnerability
http://blog.trendmicro.co.jp/archives/118
(* SEKI Masatoshi // Zazel *)
(* Would you hold my hand? Softly, let's linger. *)
番号順一覧Top
スレッド順一覧Top
2071. 教えて PHP [Bruce.] 2007/6/6(17:44)
2073. Re: 教えて PHP [ねこ丸] 2007/6/6(18:44)
2071. 教えて PHP [Bruce.] 2007/6/6(17:44)
2074. Re: 教えて PHP [Bruce.] 2007/6/6(20:09)