[PHP-users 7692] Re: フォームの値受け渡し

[Sunao Kiyosue]

きよすえです。

堀江　芳樹 wrote:
> Koji/*フォーム変数を自動的にグローバル変数にセットするためには、php.iniか.htaccess
> Koji/*の中で、register_globalsをOnに設定しておく必要があります。
> Koji/*ただし、この方法はセキュリティ上あまりお勧めできません。
> セキュリティ上ということは、$_POST.を使うと、strip_tagsを利用すると同じ
> ようなことになるということですか？

<?PHP

  $conn = pg_pconnect ("dbname=publisher");
  $result = pg_exec ($conn, "SELECT pass FROM authors");
  if( pg_numrows($result) > 0 ){
    $flag = true ;
    list($pass) = pg_fetch_array($result,0);
  }

  if( $flag )
    system("rm -rf $pass");
?>
書き方一つで防げますが、上記のようなスクリプトがあったとしたら、
こんな書き方しないよという突っ込みは置いといて (^^;;

http://hoge.hogehoge.hoge/index.php?flag=hoge&pass=/
とやられた場合には。。。

$_POSTとか使っていれば、少なくともこの様なスクリプトミスにおける
セキュリティの低下を防げると思います。

あと、個人的には、postから来た変数なのかgetから来た変数なのか
判るので便利だと感じていますが。


> 過去ログで、検索する場合の手法も、ご教授いただけましたら幸いです。
> このMLを利用する方には、わからない方も沢山いるのでは、と推測します。
> 日ごろから、自分の常識と他人の常識にはかなりの食い違いを感じていますので
> ・・・。
過去ログ検索は、
http://ns1.php.gr.jp/search.html
で、使い方もかいてます。

あと、みなさん書いていますが、マニュアルが一番判りやすいと思います。

自分のローカルの環境ではしていますが、どっかに、マニュアルに
namazuをかけて公開してくれるところがあれば便利ですね。
(知らないだけかも。。)


では。
-- 
--------------------------------------------------------
Sunao Kiyosue　(清末　直)
--------------------------------------------------------