OSDN -- 오픈 소스 소프트웨어 개발 및 다운로드
Translation Status of 한국말 translation status for ko

[Codeigniter-users] Formヘルパーのバグ

Back to archive index

t.koyama qqb25****@trad*****
2013年 4月 4日 (木) 19:44:44 JST 

戸田様



丁寧な解説を頂き、ありがとうございました。





From: codei****@lists*****
[mailto:codei****@lists*****] On Behalf Of 戸田 
広
Sent: Thursday, April 04, 2013 12:05 AM
To: codei****@lists*****
Subject: Re: [Codeigniter-users] Formヘルパーのバグ



こんばんは、戸田です。



http://d.hatena.ne.jp/Kenji_s/20100316/1268701194 でも

「CodeIgniter 2.0.0 以降」についてのコメントがあります。



これは、次の issue で鈴木憲治さんが指摘されたもので、

form_prep() の問題です。

https://github.com/EllisLab/CodeIgniter/issues/228



この対策コードは、CodeIgniter 2 (2.0.0 - 2.1.3) では

適用されていません。

ですので、小山さんがお使いのバージョンでもバグは残ったままです。



上記 issue の最後にある通り、

対策コードは次期バージョンの 3 から適用される見込みです。



ただし、バージョン 3 の対策コードは

今のところ 鈴木憲治さんが書かれたものではなく

form_prep() を、バージョン 2.1.0 から導入された html_escape() に

単純に置き換えるだけのものです。

( form_prep() は、バージョン 3 から deprecated になります)





結局のところ、上記 form_prep() の問題は

内部で htmlspecialchars() を実行すべきケースに漏れがあったバグであり、

html_escape() に置き換えることでも、漏れはなくなりバグは解消すると見込まれま
す。







以上です。









On 2013/04/03, at 10:55, t.koyama wrote:





小山と申します。



言葉足らずですみませんでした。詳細は以下の通りです。



鈴木憲治氏他による「Webサイト制作者のためのPHP入門講座」(技術評論社)p328
で、

「Codelgniter 1.7.2」 のFormヘルパーにセキュリティ上のバグがある旨の注意が
あり、

http://d.hatena.ne.jp/Kenji_s/20100316/1268701194 でも

「CodeIgniter 2.0.0 以降」についてのコメントがあります。



私は現在、ver. 2.0.3-1 を使用していますが、

form_helper.php の該当行数が上のサイト記載のものと少し異なるので、

念のため、まだ 2.0.3-1 でもバグが残ったままになっているのか、お聞きした次第
です。

よろしくお願い致します。





From: codei****@lists*****
[mailto:codei****@lists*****] On Behalf Of戸田 広
Sent: Wednesday, April 03, 2013 1:32 AM
To: codei****@lists*****
Subject: Re: [Codeigniter-users] Formヘルパーのバグ



こんばんは、戸田です。



詳細を伏せられているのでよくわかりませんが、

form_prep() の問題であれば、CodeIgniter 2 では

対策コードは適用されていません。

現在開発中のバージョン 3 での適用となる見込みです。



修正内容としては、 form_prep() が使われているところを

バージョン 2.1.0 から導入された html_escape() に差し替える

(form_prep() は deprecated 扱いになる)、

ということのようですが、

妥当性については、私は未チェックです。







以上です。









On 2013/04/01, at 15:19, t.koyama wrote:






お騒がせ致します。

参考書あるいは某サイトによると、form_helper.php に

セキュリティ上のバグがあるとのことです。

私は現在、Codelgniter 2.0.1-3 を使用していますが、

このバージョンでもまだバグが残っているのでしょうか?

残っているとすれば、どこを修正すれば正解でしょうか?



メーリングリスト過去ログに同様な書き込みがあるのかもしれませんが、

「件名」としか表示されていないので、

内容が検索できると大変助かると思うのですが・・・・・・。



_______________________________________________
Codeigniter-users mailing list
Codei****@lists*****
http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users



_______________________________________________
Codeigniter-users mailing list
Codei****@lists*****
http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users



-------------- next part --------------
HTMLの添付ファイルを保管しました...
다운로드


Codeigniter-users メーリングリストの案内
Back to archive index