<a href="http://img.xrea.com/ad_click.fcg?site=revulo.s188.xrea.com" target="_blank"><img src="http://img.xrea.com/ad_img.fcg?site=revulo.s188.xrea.com" border="0" alt="xreaad"></a>

まとめブログダウンロード掲示板メール

れぶろぐ

< 2008-07-13 (日) 2008-07-20 (日) > 最新

2008-07-15 (火)

■ ヌルバイト攻撃への対策

以下の記事に対するツッコミ。

少年よ大志を抱け: PHP: ヌルバイト攻撃

で、これをPHPで対処するには下記のコードを使えとある。もちろん他のどのサイトをみてもそうしろと書いてある。
// 終端文字列を空に $v = str_replace( "\0", '', $v );
ただし、このコード、自分が試したPHP4系ではまったくもってスルーされてしまい、例えば値が空の場合を期待するようなコード、
If($v == '' ){ echo 'hello'; }
なんてのは格好の餌食。なぜなら\0が入ってるのでマッチしないから。。。正しく動くコードは下記の通り。
// 終端文字列を空に $v = str_replace( '\0', '', $v );
なんてことはなく、"(ダブルクォーテーション)を'(シングルクォーテーション)に変えるだけなのだけど、PHP5系だと逆の動作になるところがまたややこしい。。。ちなみに、微妙だけどちゃんと空にしているかは下記のコマンドで検証できる。
wget --post-data="v=％００" http://foo.com/bar.php
※ 08/04/28追記 php-5.2.6では'\0'や"\\0"じゃないとマッチしないことを確認。。。

そんなばかな、と思ったので確認してみる。

<?php

$str = "abc\0def";
echo bin2hex($str) . "\n";
echo bin2hex(str_replace("\0", '', $str)) . "\n";

これを実行すると、私のところでは、

61626300646566
616263646566

と表示されて、ちゃんと "\0" で NULL 文字を表せるんですけどねぇ。（Debian の PHP 4.3.10 と PHP 5.2.6 で確認）

Tags: PHP |

|

|

[コメントを書く]

コメントがあればどうぞ! E-mailアドレスは公開されません。

本日のリンク元

カレンダー

過去の日記

ブログ内検索

タグクラウド

最近の記事

2008-11-18 (火)
- 1. [Zend] Zend Framework 1.7.0 がリリース
2008-11-17 (月)
- 1. [SVG] SIE 0.37 と Test Suite for SIE がリリース
2008-11-10 (月)
- 1. [PukiWiki] PukiWiki 用プラグイン geshi 1.3 alpha3 を公開
2008-11-03 (月)
- 1. [PHP] GeSHi 1.0.8.1 がリリース
2008-11-02 (日)
- 1. [PukiWiki] PukiWiki 用プラグイン prettify 1.0 を公開
2008-10-31 (金)
- 1. [SVG] SIE 0.36.1 がリリース
2008-10-25 (土)
- 1. [SVG] SIE 0.36 がリリース
2008-10-19 (日)
- 1. [VML] VML と clip プロパティを用いた放射状グラデーション
2008-10-14 (火)
- 1. [Zend] Zend Framework 1.6.2 がリリース
2008-10-13 (月)
- 1. [SVG] SIE 0.34 がリリース
2008-10-12 (日)
- 1. [VML] VML と Compositor フィルタを用いた放射状グラデーション
2008-10-08 (水)
- 1. [JavaScript] google-code-prettify が IE でコピペするとおかしくなる件
2008-10-02 (木)
- 1. [PHP] PHP の switch 文は怖くて使えない
2008-10-01 (水)
- 1. [PHP] 制御文字のコード範囲は 0x00～0x1f, 0x7f
2008-09-28 (日)
- 1. [SVG] SIE 0.32 がリリース
2008-09-23 (火)
- 1. [VML] VML で colors を設定すると opacity の意味が逆になる
2008-09-19 (金)
- 1. [Zend] Zend Framework を遅くしている主な原因
2008-09-16 (火)
- 1. [Zend] Zend Framework 1.6.1 がリリース
2008-09-15 (月)
- 1. [SVG] SIE 0.31 がリリース
2008-09-12 (金)
- 1. [CSS] IE8 では独自実装の CSS プロパティに -ms- をつけるように
2008-09-08 (月)
- 1. [Google] AJAX Libraries API はバージョンをフル指定した方が高速に動作する
2008-09-04 (木)
- 1. [Zend] Zend Framework 1.6.0 がリリース
2008-08-30 (土)
- 1. [PukiWiki] PukiWiki 用プラグイン socialbookmark 1.5 を公開
2008-08-27 (水)
- 1. [Zend] Zend Framework 1.6 RC3 がリリースされました
2008-08-24 (日)
- 1. [PukiWiki] PukiWiki 用プラグイン geshi 1.3 alpha2 を公開
2008-08-23 (土)
- 1. [JavaScript] SHJS 0.5 がリリースされました
2008-08-14 (木)
- 1. [PukiWiki] PukiWiki 用プラグイン socialbookmark 1.4 を公開
2008-08-12 (火)
- 1. [Zend] Zend Framework 1.6 RC2 がリリース
2008-08-10 (日)
- 1. [PHP] GeSHi 1.0.8 がリリースされました
2008-08-03 (日)
- 1. [PukiWiki] PukiWiki 用プラグイン socialbookmark 1.3 を公開
- 2. [PukiWiki] PukiWiki 用プラグイン favicon 1.3 を公開