文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定

補足 この記事は旧徳丸浩の日記からの転載です（元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2）。 備忘のため転載いたしますが、この記事は2010年9月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPカンファレンス2010にて「文字コードに起因する脆弱性とその対策」というタイトルで喋らせていただきました。プレゼンテーション資料をPDF形式とslideshare.netで公開しています。 文字コードのセキュリティというと、ややこしいイメージが強くて、スピーカーの前夜祭でも「聴衆の半分は置いてきぼりになるかもね」みたいな話をしていたのですが、意外にも「分かりやすかった」等の好意的な反応をtwitter等でいただき、驚くと共に喜んでいます。土曜にPHPカンファレンスに来られるような方は意識が高いというの

[ya--mada]

ちょとバッドノウハウ入ってるなという感じではあるが、致し方なし的。現場ではもっと変なことになっているのが厳しいなぁと。

[tohokuaiki]

セキュリティ

[iww]

やややや安全

[agchamar]

php設定

[hitode909]

文字コード

[takeru-c]

U+00A5 U+005C問題

[kikuzou]

徳丸さん

[youhey]

共同で開発するときとか、コーディング丸投げするときとかの設定によさそうな

[terurou]

mb_convert_encoding($str, 'UTF-8', 'UTF-8') これは想像外のバッドノウハウだなぁ

[hat_0024_ena]

￥ 尾骶骨 つちよし

[mumincacao]

mbstring.http_input が変更できないようなさーばで動く可能性のあるものはやっぱりふれーむ部分でいろいろ吸収できるようにしておかないとかにゃぁ．．．〆（´・ω【みかん

[diveintounlimit]

タイトル通り「やや安全な」方法。しかしホスティングサービスでどれだけphp.iniを触れるものがあるやら。.htaccessのphp_valueとかini_set()で御せる部分はありそう。

[raimon49]

入口から出口までUTF-8

[dgdg]

mbstring.internal_encodingは携帯とかで困ったので、注意事項にあるようにスクリプトで文字エンコーディングのチェックをやるべし

[damedom]

文字コードで絶賛困り中だったので渡に船

[XIAORING]

char code php.ini

[yocchi24]

PHP使いは必読

[deg84]

php.iniで文字コード起因の脆弱性を防ぐ。／受託開発の場合にサーバーをあまり弄れない時にすごく困るのよね。

[IwamotoTakashi]

PHPの仕様が分からないのが悩みどころなんだよなあ。各関数やら設定項目やらのドキュメントに「半端な先行バイトや非最短形式のUTF-8はこう扱われます」と明記されれば安心なんだけど。RubySpecみたいなのはあるのかな？

[escape_artist]

くわしい

[field_combat]

後で

[red_snow]

php.iniをちゃんと書く人が少ないのです

[manji6]

php.iniの決定版

[masatomo-m]

mbstring.encoding_translationって昔ハマった記憶があるのであんまり良いイメージないなぁ．フレームワークと相性悪そう

[authority-site]

文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定 - 徳丸浩の日記

[jsmp]

文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定

[amachang]

文字コードによる脆弱性への対策を、実際の php.ini の設定を見せながら解説。すばらしい！

[Akaza]

"入力時にUTF-8→UTF-8の変換をすることで、不正な文字エンコーディングを除去する"

[ockeghem]

↑id:cheapcode output_buffering はオンでもいいです。文字エンコーディングの変換をしなければ。