人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

phpでユーザー任意入力のhtmlを書き出す場合、
(クッキー&セッションハイジャック以外で)
セキュリティー上どんな問題がありますか?

<?php
$userhtml = $_POST["userhtml"];
print $userhtml;
?>

これだと少なくとも値は文字列として解釈されるので
一部をphpと認識させてphpプログラムを実行させることは
不可能ですよね?

残る問題はJavaScriptかCSSで無限ループさせるような
記述ということになるんでしょうか?

●質問者: k2017
●カテゴリ:ウェブ制作
✍キーワード:CSS HTML JavaScript PHP print
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● ヨネちゃん
●70ポイント

おっしゃる通りですが、JavaScript でブラウザクラッシャ等を吐き出す可能性は充分にあります。

また、アクティブX等を使用してCドライブをフォーマットすること等も不可能ではないでしょう。

◎質問者からの返答

ありがとうございます。アクティブXは該当タグを不許可にすれば問題なさそうですね。

ほかにも問題点があれば教えてください。


2 ● ヨネちゃん
●0ポイント

C言語のようなものでも同じようなことができたかも知れません。

かなり昔のことなので記憶が定かではないのですが、

極悪ホームページ事典

http://www.cbook24.com/bm_detail.asp?sku=4798003840

で見たような気がします。

◎質問者からの返答

ありがとうございました。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ