・おお!?大垣さんが、GIHYOでセキュリティ連載!?要チェック!
http://gihyo.jp/dev/serial/01/php-security
あら、こんなのも・・・。
「検索エンジンを作る」
http://gihyo.jp/dev/serial/01/make-findspot
はぁん・・・FINDSPOTね・・・。Hyper EstraierやSennaやLuceneは知ってたけど、これは知らない・・・。
で、Xhwlayではbcidやpage, eventがリクエストで来るわけだけど。一応これ、やばめ除去用のコードは入れてある。
preg_match("/^[0-9A-Za-z_\-,]+$/m")
なんだけど・・・
http://gihyo.jp/dev/serial/01/php-security/0005?page=3
!!げ!? "D"?mじゃなくて?
と思って確認してみたら、意味的にはmでも大丈夫な見たい。
http://jp.php.net/manual/ja/reference.pcre.pattern.modifiers.php
あー、よかった・・・。一応、\r\nや\r混じり、%00交じりをrawurldecodeさせたやつとかでも確認とってるから、大丈夫だとは思ってたんだけど・・・。
とはいえ、XHWLAY_VAR_NAMESPACE_REQUESTとかに入れるのはまずいかもしれない。XHWLAY_VAR_NAMESPACE_INTERNALみたいなの作って、それ使ったほうがイイかなあ・・・。
・「つくるぶ」。ここの「まとめ」、結構イカス。
http://www.tkrb.jp/
コメント