Ticket #1717 (closed 改善提案: 修正済)

Opened 8 years ago

Last modified 8 years ago

URL のファイルパス部の取得は PHP_SELF の代わりに SCRIPT_NAME を使用する

Reported by: Seasoft Owned by: Seasoft
Priority: Milestone: EC-CUBE2.12.0
Component: その他 Version: 2.12.0 α
Keywords: Cc:
修正済み: yes

Description (last modified by Seasoft) (diff)

  • PHP_SELF はファイル名末尾に / を用いた際のクエリ文字列を含むため、利用方法によっては脆弱性や誤動作に繋がる懸念がある。(現状の標準実装の範囲では、目立って問題のある利用は無さそう。)
  • PHP 5.4 のビルトインサーバの PHP_SELF は、/ へのアクセスが /index.php/ となる。そのため、フロント機能の画面の多くが表示されない問題を抱えている。(公式の動作環境ではないとは思うが、今後の開発環境を考えた場合には、カバーしておく価値はあるかなと。)

r21704

Change History

comment:1 Changed 8 years ago by Seasoft

  • Owner changed from somebody to Seasoft
  • 修正済み set
  • Status changed from new to assigned
  • Description modified (diff)

comment:2 Changed 8 years ago by kajiwara

  • Status changed from assigned to closed
  • Resolution set to 修正済

Sesoftさん

本件、ご報告、並びに修正作業をいただきありがとうございます。

こちら、方向的にも問題ないと思いますので、こちらにてクローズとさせていただきます。

Note: See TracTickets for help on using tickets.