という変換ルールが、フォームの入力域にも、通常の出力にも一様に適用されるということが、場合によって混乱を巻き起こすという事を書いたのですが、実際にどのように変更したらよいのかを検討してみたいと思います。 そもそも、今回のケースではHTMLの入力を許さない事が前提ですから、入力したテキストがそのまま出力される事が本来だと思います。しかしながら、最終的な出力でHTMLで許されない文字は変換をしないといけないですし、さらに脆弱性を産まないための補正があわせて行われるべきです。 いずれにせよ、フォームでの編集時には入力した時と同じ文字列が再現される事が望ましいです。 但し、HTMLは使えないにせよ、HTMLのエンティティ文字を使って、特殊記号などを表現したいという要求は高いと思います。小生も趣味のからみから、ドイツ語などをWEBに公開する事があるのですが、「Müchen」と表現したい場合に、日本語
説明の順番が前後してしまいましたが、Duplicatable V3の前提に、XOOPS_TRUST_PATHという重要な概念があります。 XOOPS_TRUST_PATH とは、PHP定数です。XOOPSをある程度触った方ならご存じのXOOPS_ROOT_PATH の親戚のようなものです。この定数は、mainfile.phpで定義します。 XOOPSでもosCommerceでも、古いタイプのOSS系PHPアプリケーションは大抵、DocumentRootの下にすべてのファイルを展開する形になっています。実はこれ、かなり危ないことで、インクルード専用のファイルをダイレクトにアクセスされることで、思わぬ脆弱性につながりかねません。 過去にもAgenda-Xというモジュールでこういう事例があり、簡単にApache権限を持って行かれました。そこまで酷くないにしても、インクルード専用のファイルをDoc
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く