PHPの残念なお話
2009年10月8日(木曜日)
PHPの残念なお話
更新: 2009年10月11日18時20分頃
こんなお話が。
- htmlspecialcharsのパッチ私案 (d.hatena.ne.jp)
- PHP bugs: #49785: htmlspecialchars() should check byte sequence more strictly (bugs.php.net)
- htmlspecialcharsに関する残念なお知らせ (d.hatena.ne.jp)
それを受けてこんなお話も。
- 外国語ならなおさら、できる限りのことをしないと伝わらない (akimoto.jp)
まあ、もとより、修正する義務もないわけですしね。
ただ理由はどうあれ、結果として「対応しない」という事なのですから、その事実をふまえて判断しなければなりません。
先行バイトで巻き込むタイプのXSSは、HTMLの構造によっては成立しない場合も多いですし、そこを慎重に判断した上で「気にしない」という選択をするのであれば、それはそれで問題ないでしょう。
気にする人は、例えば、PHPを避けるという対応を選択することになって「残念」と感じるかも知れませんが、まあ、それはそれで仕方ないのではないでしょうか。
※2009-10-11追記: 結局、PHP側で対応されたようです……「htmlspecialcharsに関する素敵なお知らせ (d.hatena.ne.jp)」。
- 「PHPの残念なお話」にコメントを書く
