- ベストアンサー
PHPを狙う新たなワームが出現!?
お世話になります。 http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041227/154332/ という記事を読みました。 この問題を回避するには、Include()やRequire()が不適切に使われていないことを確認するようですが、具体的にどのような事を注意すればいいのか? 私もPHPでコードを書きますが、私の中では正しく使用しているつもりです。でも、正しくないのかもしれません。 この辺りの情報を取得できるホームページ(日本語で^^;)又は、ご教授願えませんか?よろしくお願いします。
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
リンクから「File Inclusion Flaw」の解説ページをみてみました。 恐らく、 POSTなどの引数にファイル名をそのまま渡さない。 といった話だと思います。 例えば require_once($_POST['file']); と書いていた場合、 test.php?file=http://yahoo.**.jp/ というURLを渡してしまえば、 本来サーバ上の[text.dat]を読み込むつもりで作ったプログラムでも、 ヤフーのトップページが読み込まれてしまいます。 もしここに悪意のあるURLが指定されたら問題ですよね。 以前からPHPを扱っている人達にとっては、 暗黙の了解になってしまっていて、 それでいてまとめるにはややこしい問題なので、 解説ページは見当たらないかもしれませんので、 ざっと解説してみました。 はずしていたらすいません。
お礼
なるほど。そういう使い方ですか~。 いやぁまったく思いつきませんでした。 >暗黙の了解.... なんか取り残された気分です(w 勉強になりました。ありがとうございました。