クロスキューブ佐々木
tao****@xross*****
2010年 11月 17日 (水) 14:55:46 JST
お世話になっております。佐々木と申します。 ちょっと伺いたいんですが、この問題は$config['enable_query_strings'] = TRUEの時だけ発生するのでしょうか? -- ■:: □■::----------------------------------------------- ■:: XROSS CUBE 佐々木 多生 Tao Sasaki tel:090-6158-4469 fax:020-4663-3420(NET FAX) mail:tao****@xross***** ・EC-CUBEカスタマイズ http://www.xross-cube.com/ ・直感的なCMS、concrete5 http://concrete5.xross-cube.com/ --------------------------------------------------■□ 2010年11月17日7:50 Kenji Suzuki <kenji****@gmail*****>: > Kenji です。 > > > On Tue, 16 Nov 2010 12:23:26 +0900 > Kenji Suzuki <kenji****@gmail*****> wrote: > >> > CodeIgnitor1.7.2での事象なのですが、/applications/config/config.phpで >> > $config['enable_query_strings'] = TRUE; >> > としたとき、 >> > index.php?c=hogehoge >> > とコントローラを指定すべきところを >> > index.php?c=/../../../../fuga%00 >> > などとするとパスをトラバーサルできてしまいます。 >> >> 確認しました。 > >> > これは/libraries/URI.phpのなかの_filter_uri()で$config['enable_query_strings'] = TRUEのとき >> > permitted_uri_charsで設定したフィルタが効かないことが原因のようなのですが、 >> > この問題は既に知られているものでしょうか? >> >> ちょっとフォーラムなど調べましたが、なさそうな感じです。 >> >> EllisLab に聞いてみます。 > > 2.0 で修正されていました。 > http://bitbucket.org/ellislab/codeigniter/changeset/9357bf5ddbcb > > しかし、1.7.2 の修正が漏れてしまったいたようです。 > > この変更を 1.7.2 にも加えるのがいいと思います。 > > > 今後 Ellislab からもアナウンスと修正が出ると思います。 > > > // Kenji > > _______________________________________________ > Codeigniter-users mailing list > Codei****@lists***** > http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users > > >
