作者: 藤岡和夫
日時: 2007/5/29(23:55)
On Mon, 28 May 2007 23:41:54 +0900
"Bruce." <kbk@...> さんwrote:

> XSSではなくOSコマンドインジェクションです。
> 悪意の第三者が漢字以外のものを入力する可能性はあります。
> そこに落とし穴があります。

 OSコマンドインジェクションは、open()、system()関数などの引数をCGIが入
力として受け取る場合の問題と理解しているのですが、違うでしょうか。今回の
スクリプトは、単に検索文字列のパターンを受け取るだけですから、何も起こり
ようがないと思うのですが・・・

藤岡 和夫
kazuf@...
日曜プログラマのひとりごと http://homepage1.nifty.com/kazuf/renewal.html