作者: 閑舎
日時: 2007/9/21(13:29)
wtnabe@... (ねこ丸) さん wrote.

>   ファイルをアップロードさせてそのコンテンツを利用してゴニョゴニョする
> のであれば注意が必要ですが、自分の用意したコンテンツをただ出力するだけ
> であれば特に問題にはならないと思います。

カウンタなんかでちょっと問題が出そうですし、最近、アルバム機能を売り物に
するブログサイトなど増えているので、画像をアップロードしていろいろ処理す
るのも以前よりはかなり増えてきてますよね。

# GD でデフォルトサイズにする、とか言って、サイズ変更してしまえば問題は
# 消滅するような気はしますが(まさか GD が画像を読みにいくところにすでに
# PHP の脆弱性があるってなことにはなってないでしょうね?)。

> yohgaki's blog - スクリプトインクルード問題の根本的解決策
> http://blog.ohgaki.net/index.php/yohgaki/2007/08/21/a_sa_ma_oa_a_a_ca_sa_ma_la_fa_a_ei_a_ran
> 
>   というアイディアもあるので、アップロードさせたファイルを利用する場合
> でもそれなりに安全に動かすことは可能そうですが。

そうですね。リモートファイルのインクルードは確かに問題です。

が、ローカルファイルの html ソース、PHP コード混在ファイルの include を
負の遺産とまで言われると、PHP の特色が消えると思うけどなぁ。まあ、注意は
必要だし、レンタルサーバなんかやってる人には厄介とは思うけれど。

--
本田博通(閑舎)
テキストとスクリプトの http://www.rakunet.org/TSNET/