| ・ |
ドキュメントセンターを初めてご利用する方や運営方針についての基本的な姿勢をご覧になりたい方へ。
|
| ご利用の皆様から多く寄せられる質問にお答えしています。 |
|
| ・ |
ディーエーオフィスなどが利用する用語に関する解説を行います。
|
|
|
|
 | |
PHPでregister_globalsをonにして使うことはいけないことですか? |
推奨しない利用方法です。
セキュリティ上の理由で、脆弱性を強調してしまうような流れとなってしまうことから、試験環境を含めて利用しないのが懸命な判断と言えます。PHP上で初期設定がoffとなったのは4.2.0のときでしたが、すでにずいぶん時間が経ったことから、全面的な利用を廃止しても良い時期になっています。
http://jp.php.net/manual/ja/security.globals.php
! 背景と現在の流れ
http://www.test.jp/?var=test
PHPには、GETやPOSTとして引き渡された値が気軽に読み込めるようになるregister_globals機能を持っていました。上のURIで呼び出された場合、古いPHPでは、$varという変数へ"test"を代入していました。
しかし、変数への引き渡しへ、外部から意図しない値を入力することが手軽にできてしまうことから、セキュリティ上の脆弱性を強調してしまい、大きな問題となりました。PHP4.2.0からは、初期設定へ引き渡しをしないように設定されるようになっています。
おそらく今後、利用できなくなる機能の一つではないかと予想するものです。現在も多くのコードで、外部値の読み取りへはスーパーグローバル変数などが用いられるようになっています。
|
[ 関連文書 ]PHPのtrack_varsとは何ですか? (2006.03.12)
| 文書番号 |
06260 |
| 日付 |
2006.03.25 |
| 参照数 |
424 |
|
