Ticket #1717 (new 改善提案) — at Initial Version
URL のファイルパス部の取得は PHP_SELF の代わりに SCRIPT_NAME を使用する
| Reported by: | Seasoft | Owned by: | somebody |
|---|---|---|---|
| Priority: | 中 | Milestone: | EC-CUBE2.12.0 |
| Component: | その他 | Version: | 2.12.0 α |
| Keywords: | Cc: | ||
| 修正済み: | yes |
Description
- PHP_SELF はファイル名末尾に / を用いた際のクエリ文字列を含むため、利用方法によっては脆弱性や誤動作に繋がる懸念がある。(現状の標準実装の範囲では、目立って問題のある利用は無さそう。)
- PHP 5.4 のビルトインサーバの PHP_SELF は、/ へのアクセスが /index.php/ となる。そのため、フロント機能の画面の多くが表示されない問題を抱えている。(公式の動作環境ではないとは思うが、今後の開発環境を考えた場合には、カバーしておく価値はあるかなと。)
Note: See
TracTickets for help on using
tickets.
