phpでユーザー任意入力のhtmlを書き出す場合、

(クッキー&セッションハイジャック以外で)
セキュリティー上どんな問題がありますか?

<?php
$userhtml = $_POST["userhtml"];
print $userhtml;
?>

これだと少なくとも値は文字列として解釈されるので
一部をphpと認識させてphpプログラムを実行させることは
不可能ですよね?

残る問題はJavaScriptかCSSで無限ループさせるような
記述ということになるんでしょうか?

回答の条件
  • 1人2回まで
  • 登録:2006/05/12 19:01:37
  • 終了:2006/05/15 02:20:32

回答(2件)

id:yoneto164 No.1

ヨネちゃん回答回数813ベストアンサー獲得回数942006/05/12 21:12:26

ポイント70pt

おっしゃる通りですが、JavaScript でブラウザクラッシャ等を吐き出す可能性は充分にあります。

また、アクティブX等を使用してCドライブをフォーマットすること等も不可能ではないでしょう。

id:k2017

ありがとうございます。アクティブXは該当タグを不許可にすれば問題なさそうですね。

ほかにも問題点があれば教えてください。

2006/05/14 03:32:01
id:yoneto164 No.2

ヨネちゃん回答回数813ベストアンサー獲得回数942006/05/14 08:41:28

C言語のようなものでも同じようなことができたかも知れません。

かなり昔のことなので記憶が定かではないのですが、

極悪ホームページ事典

http://www.cbook24.com/bm_detail.asp?sku=4798003840

で見たような気がします。

id:k2017

ありがとうございました。

2006/05/15 02:19:53

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません