2010年11月30日火曜日

mb_convert_encoding()の 第3引数は指定しても意味が無いらしい

2007-04-15 - T.Teradaの日記
ネット上には「不正な文字を利用したXSS攻撃*1を防ぐために、第三引数を指定する方がよい」というような記述もありましたが、これは日本語用の文字コードを使う限りは正確ではありません。文字コードを指定したところで、関数の出力結果は何ら変わりません。攻撃を防ぐ効果はないのです。

そうなのか。

どこかでセキュリティの専門家っぽい人が指定しないと脆弱性になるって書いてた気がする...探してみよう。

0 件のコメント:

ブログ アーカイブ

カテゴリー