新規記事投稿

フォロー記事投稿

記事のキャンセル

8月13日に、ぱーまぁさんは書きました。

＞おまけに応用して$ENV{'HTTP_USER_AGENT'}まで入れてみちゃいました（＾＾)
＞
ううむ、チョット注意するの忘れていたのが悪いのですが、'HTTP_'で始まる環境変数は
ここに生で入れてはいけません。

なぜなら、これらの環境変数にはuser agent(ブラウザなど)が設定してきた値が
そのまま入っているものなので、ちょっと知識のある人ならいくらでも好きな値を
入れることが出来ます。それをそのまま表示してしまうとどうなるかは明らかですね。
SSI構文を書かれた場合など、大きなセキュリティ上の穴を開ける事になってしまいます。

ですから、そう言う環境変数の値を表示したい時には、あらかじめ、

$user_agent = &http'http_quote($ENV{'HTTP_USER_AGENT'});

として、中のHTML構文を無効化しておいて、その結果を使わなくてはなりません。
この点に十分ご注意下さい。