新規記事投稿

フォロー記事投稿

記事のキャンセル

8月14日に、にあさんは書きました。

＞ううむ、チョット注意するの忘れていたのが悪いのですが、'HTTP_'で始まる環境変数は
＞ここに生で入れてはいけません。
＞なぜなら、これらの環境変数にはuser agent(ブラウザなど)が設定してきた値が
＞そのまま入っているものなので、ちょっと知識のある人ならいくらでも好きな値を
＞入れることが出来ます。それをそのまま表示してしまうとどうなるかは明らかですね。
＞SSI構文を書かれた場合など、大きなセキュリティ上の穴を開ける事になってしまいます。
＞ですから、そう言う環境変数の値を表示したい時には、あらかじめ、
＞$user_agent = &http'http_quote($ENV{'HTTP_USER_AGENT'});
＞として、中のHTML構文を無効化しておいて、その結果を使わなくてはなりません。
＞この点に十分ご注意下さい。
ありがとうございます。
早速、修正します。