OSDN -- Desarrollar y descargar software de código abierto
Translation Status of Español translation status for es

[Codeigniter-users] Formヘルパーのバグ

Back to archive index

戸田 広 info****@sciss*****
2013年 4月 4日 (木) 00:04:35 JST 

こんばんは、戸田です。

> http://d.hatena.ne.jp/Kenji_s/20100316/1268701194 でも
> 「CodeIgniter 2.0.0 以降」についてのコメントがあります。


これは、次の issue で鈴木憲治さんが指摘されたもので、
form_prep() の問題です。
https://github.com/EllisLab/CodeIgniter/issues/228

この対策コードは、CodeIgniter 2 (2.0.0 - 2.1.3) では
適用されていません。
ですので、小山さんがお使いのバージョンでもバグは残ったままです。

上記 issue の最後にある通り、
対策コードは次期バージョンの 3 から適用される見込みです。

ただし、バージョン 3 の対策コードは
今のところ 鈴木憲治さんが書かれたものではなく
form_prep() を、バージョン 2.1.0 から導入された html_escape() に
単純に置き換えるだけのものです。
( form_prep() は、バージョン 3 から deprecated になります)


結局のところ、上記 form_prep() の問題は
内部で htmlspecialchars() を実行すべきケースに漏れがあったバグであり、
html_escape() に置き換えることでも、漏れはなくなりバグは解消すると見込まれます。



以上です。




On 2013/04/03, at 10:55, t.koyama wrote:

> 小山と申します。
>  
> 言葉足らずですみませんでした。詳細は以下の通りです。
>  
> 鈴木憲治氏他による「Webサイト制作者のためのPHP入門講座」(技術評論社)p328で、
> 「Codelgniter 1.7.2」 のFormヘルパーにセキュリティ上のバグがある旨の注意があり、
> http://d.hatena.ne.jp/Kenji_s/20100316/1268701194 でも
> 「CodeIgniter 2.0.0 以降」についてのコメントがあります。
>  
> 私は現在、ver. 2.0.3-1 を使用していますが、
> form_helper.php の該当行数が上のサイト記載のものと少し異なるので、
> 念のため、まだ 2.0.3-1 でもバグが残ったままになっているのか、お聞きした次第です。
> よろしくお願い致します。
>  
>  
> From: codei****@lists***** [mailto:codei****@lists*****] On Behalf Of戸田 広
> Sent: Wednesday, April 03, 2013 1:32 AM
> To: codei****@lists*****
> Subject: Re: [Codeigniter-users] Formヘルパーのバグ
>  
> こんばんは、戸田です。
>  
> 詳細を伏せられているのでよくわかりませんが、
> form_prep() の問題であれば、CodeIgniter 2 では
> 対策コードは適用されていません。
> 現在開発中のバージョン 3 での適用となる見込みです。
>  
> 修正内容としては、 form_prep() が使われているところを
> バージョン 2.1.0 から導入された html_escape() に差し替える
> (form_prep() は deprecated 扱いになる)、
> ということのようですが、
> 妥当性については、私は未チェックです。
>  
>  
>  
> 以上です。
>  
>  
>  
>  
> On 2013/04/01, at 15:19, t.koyama wrote:
> 
> 
> お騒がせ致します。
> 参考書あるいは某サイトによると、form_helper.php に
> セキュリティ上のバグがあるとのことです。
> 私は現在、Codelgniter 2.0.1-3 を使用していますが、
> このバージョンでもまだバグが残っているのでしょうか?
> 残っているとすれば、どこを修正すれば正解でしょうか?
>  
> メーリングリスト過去ログに同様な書き込みがあるのかもしれませんが、
> 「件名」としか表示されていないので、
> 内容が検索できると大変助かると思うのですが・・・・・・。
>  
> _______________________________________________
> Codeigniter-users mailing list
> Codei****@lists*****
> http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users
>  
> _______________________________________________
> Codeigniter-users mailing list
> Codei****@lists*****
> http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users

-------------- next part --------------
HTMLの添付ファイルを保管しました...
Descargar


Codeigniter-users メーリングリストの案内
Back to archive index