・おお!?大垣さんが、GIHYOでセキュリティ連載!?要チェック! http://gihyo.jp/dev/serial/01/php-security あら、こんなのも・・・。 「検索エンジンを作る」 http://gihyo.jp/dev/serial/01/make-findspot はぁん・・・FINDSPOTね・・・。Hyper EstraierやSennaやLuceneは知ってたけど、これは知らない・・・。 で、Xhwlayではbcidやpage, eventがリクエストで来るわけだけど。一応これ、やばめ除去用のコードは入れてある。 preg_match("/^[0-9A-Za-z_\-,]+$/m") なんだけど・・・ http://gihyo.jp/dev/serial/01/php-security/0005?page=3 !!げ!? "D"?mじゃなくて? と思って確認してみたら、意味的にはmでも大丈夫な見たい。 http://jp.php.net/manual/ja/reference.pcre.pattern.modifiers.php あー、よかった・・・。一応、\r\nや\r混じり、%00交じりをrawurldecodeさせたやつとかでも確認とってるから、大丈夫だとは思ってたんだけど・・・。 とはいえ、XHWLAY_VAR_NAMESPACE_REQUESTとかに入れるのはまずいかもしれない。XHWLAY_VAR_NAMESPACE_INTERNALみたいなの作って、それ使ったほうがイイかなあ・・・。 ・「つくるぶ」。ここの「まとめ」、結構イカス。 http://www.tkrb.jp/