PHP4.4.9のパッチを頼まれて書いた話 : iwamotのブログ
2012年04月21日17:37 カテゴリPHP PHP4.4.9のパッチを頼まれて書いた話 3月上旬、あるドイツ人から「PHP4.4.9のパッチを書いてくれないか」という相談メールが届いた。「2週間以内にPHPのあるバグをふさがなければならないのだが、Cの知識がないので、バグ報告者であるiwamotにパッチを書いてほしい」というのだ。 「私だってCの知識はないし、PHPのコーディングを工夫すればバグをふさぐ必要もない」などと返したのだが、どうしても書いてくれというので、「うまく書けるかどうか保証はできないし、そもそも期日に間に合うかどうかわからない」と断ったうえで、トライすることにした。どこの馬の骨だかわからない私に頼るぐらいだから、そうとう切羽詰まっているのだろう。 パッチはなんとか書けたので、先方に送り、テストしてもらった。「意図どおりに動いているので、これを使うことに決めた」との返
htmlspecialcharsに関する素敵なお知らせ - 岩本隆史の日記帳(アーカイブ)
外出のため確認が遅くなってしまったのですが、「htmlspecialcharsに関する残念なお知らせ」という記事で触れたバグレポートが、reopenされ、fixされました。 「改善される見込みは薄い」という私の予測は外れたわけで、申し訳ないと思うと同時に、htmlspecialcharsの挙動が改善され、嬉しく思っています。ご尽力いただいた皆様、ありがとうございました。 PHPのバグレポートを初めて書く方へ PHPのバグレポートには、再現コードや期待される結果、実際の結果を書く欄があります。私のレポートでも埋めました。 PHPのコミッタはそれらを読み、バグだと思えばコードを修正するでしょう。また、仕様だと思えば却下するでしょう。私のレポートでいえば、janiさんは仕様と判断され、moriyoshiさんはバグと判断されたわけです。「それでいいのか」という気もしますが、そうなのだから仕方がない
htmlspecialcharsのパッチ私案 - 岩本隆史の日記帳(アーカイブ)
PHPのhtmlspecialchars関数について、文字エンコーディングの妥当性チェックが不充分であること、また場合によってはXSS攻撃が可能になることが、下記ふたつの記事で指摘されています。 htmlspecialcharsは不正な文字エンコーディングをどこまでチェックするか | 徳丸浩の日記 Shift_JIS では、htmlspecialchars() を使用しても XSS が可能な場合がある - t_komuraの日記 徳丸さんの記事では、仕様変更も提案されています。 冗長なUTF-8は不正なエンコーディングとして扱う(出力を空にする) Shift_JIS、EUC-JPの2バイト目が不正な場合も、エラーとして出力を空にする htmlspecialcharsは不正な文字エンコーディングをどこまでチェックするか | 徳丸浩の日記 さらに、id:t_komuraさんの記事をうければ:
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
