2010-01-14
EC-CUBE(その3)管理画面から編集すると\が付く
EC-CUBE |
前回、管理画面からコードを編集すると勝手に\が付いて、EC-CUBEを疑ってしまいました。
php.iniのmagic_quotes_gpcがOnになっていただけだったんですが、そのままOffにしていいのか気になり、調べてみました。
ふむふむ、SQLインジェクション対策はDB側が行うべきなんですね。んでPHP6で廃止になると書いてありますね。
http://jp.php.net/manual/ja/security.magicquotes.why.php
どうしてもmagic_quotes_gpcをOffにできない場合は、stripslashesを使うといいみたいです。
http://jp.php.net/manual/ja/security.magicquotes.disabling.php
エスケープされる変数とそうでない変数が存在するのか。ありがとうございます。
http://d.hatena.ne.jp/teracc/20070125/1169722643/
SQLインジェクションの脆弱性が見つかっているみたいですね。あぶないあぶない。
http://www.ec-cube.net/info/080829/
MySQLの「SET NAMES」はSQLインジェクションの脆弱性が発生するみたいなので、使ってはダメみたいです。
http://blog.ohgaki.net/set_namesa_mcb_asc
というわけでEC-CUBEはSQLインジェクションの対応がすでにされているので、magic_quotes_gpcをOffにして大丈夫みたいです\(^o^)/
コメントを書く