マイルドソルト.com

PHPの文字エンコーディングの入力チェックを改善する方法について日本語のブログで議論があり、 そのパッチを本家に提案したが、却下された 、という話が盛り上がっているようです。 バグレポートされた岩本さん自身や、コメント欄や はてなブックマーク では、 PHPの開発陣がダメだ マルチバイトに理解がない外国人がダメだ 残念だ みたいな意見があまりに大勢をしめているので、そのバグレポートを見てみた上で、思ったことを述べたいと思います。 岩本さんのバグレポート を訳すと、こんな感じです 要約: ———— セキュリティ的な要件により、htmlspecialchars()はバイト列をもっと 厳密にチェックすべきです。XSSするコードが見つかりました。 http://d.hatena.ne.jp/t_komura/20091004/1254665511 [日] 原始的なパッチを書きました。 http://iwamot.com/misc/html.c.patch.20091006 使えるかどうか知りませんが(笑) 再現コード: ——–