2007年11月29日

[selinux-users:02074] Re: 自動エスケープ

07/11/29 に Tetsuo Handa<from-selinux-ml@xxxxx> さんは書きました:
>  熊猫です。
>
> > #&;`|*?~<>^()[]{}$\、\x0A および \xFF については、その文字の前にバックスラッシュが 追加されます。' および " は、対になっていない場合にのみエスケープされます。Windows では、 これらの文字に加えて % がスペースに置き換えられます。
> 試してませんけど、 /bin/echo の -e オプションを使って \ で始まるバイナリ文字列を渡したい場合はどうするんでしょうねぇ?

phpは、webで使われる言語という感じでしょうから、無制限に文字列を入力させるというのはあまりないと思われます。
文字数も制限するべきでしょうし。


例えば、メールアドレスを入れさせる場合でも、

mail@xxxxx

ならば、
mail(入力させるが文字チェック)
@(は、表示しておいて入力させない)
test(入力させるが文字チェック)
.(は、表示しておいて入力させない)
com(セレクトさせるco.jpとかorgとかnetとか)

で、セレクトさせる場合も、文字列チェックはする、とするのがいいと思います。

> C ライブラリの popen() が execve() みたいに \0 区切りでパラメータを受け取ってくれると嬉しいんだけどなぁ。

例えば、fgetcsv()という組み込み関数は、csv形式のものを取り扱えますし、
http://jp.php.net/fgetcsv

explode()で組み上げるといのもありそうです。
http://jp.php.net/manual/ja/function.explode.php

でも、使わせる機能決め打ちで入力画面を作成し、個別にチェックするのが webチックでしょう。
webユーザは、コンピュータのスキルが高くないので、
その方が、ユーザビリティが高いと言えます。

>
>
>


--
Shintaro Fujiwara
segatex project (SELinux policy tool)
http://sourceforge.net/projects/segatex/
Home page
http://intrajp.no-ip.com/
Blog
http://intrajp.no-ip.com/nucleus/
CMS
http://intrajp.no-ip.com/xoops/
Wiki
http://intrajp.no-ip.com/pukiwiki/

投稿者 xml-rpc : 2007年11月29日 01:32
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/66962
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。