下記の通り、誤り、もしくは誤解を招く表現がございましたので訂正致します。
うぇぶ奇譚
P | 誤り | 訂正内容 | 説明 |
34 |
define('LOGIN_INTERVAL', 9000); |
define('LOGIN_INTERVAL', 900); |
9000秒だと150分になってしまいますね |
35 |
session_regenerate_id(); |
session_regenerate_id(true); |
引数にtrueを付けないとログイン前のセッション変数が破棄されません。
ログイン前のセッションですのでそれがいきなり危険に繋るかは謎ですが、
破棄しておくに越したことはありません。
|
11 |
</script> |
</scirpt> |
たいぽですm(_ _)m |
18 |
CREATTE |
CREATE |
たいぽですm(_ _)m |
うぇぶ百鬼草子
P | 誤り | 訂正内容 | 説明 |
全般 |
<lable>〜</lable> |
<label>〜</label> |
typoですm(_ _)m thx @kusano_k |
34 |
コード全般 |
- |
ここに"file:///etc/passwd"など、"file://"タイプのURLを入力されると
想定外のファイルにアクセスされてしまう可能性があります。
この場合、対策としては期待する値が明らかにURL(httpタイプ)であるためvalidateで弾くのが良いでしょう。
なお、これはcurlをコマンドではなくcurlやfile_get_contents等の関数に変更しても同様の対策が必要です。
基本的に本書のサンプルコードは最低限のコードを部分最適しただけであるため、
説明対象以外の脆弱性を含む可能性がありましたが、これは想定外であり、
また有益であっためエラッタとして残します。thx @kusano_k
|
閉じる