インクルードファイル直接呼び出し攻撃防止策を追加

2024年11月21日(木) 18:57 JST

インクルードファイル直接呼び出し攻撃防止策を追加

2008年9月26日(金) 22:40 JST
投稿者: mystral-kk
表示回数 6,721

Geeklog-1.5.1で、大文字小文字を区別しないファイルシステム（MS Windowsなど）で、インクルードファイルを直接呼び出すことが可能になっていた脆弱性が修正されたが、同様の修正を拙作のDataproxy, Dbman, Sitemap, Themeditプラグインにも行った。機能追加はなし。

インクルードファイル直接呼び出し攻撃防止策を追加 | 2 コメント | アカウントの登録

以下のコメントは、その投稿者が所有するものでサイト管理者はコメントに関する責任を負いません。

コメントの新規受付は終了しています。

インクルードファイル直接呼び出し攻撃防止策を追加

投稿者: daioh_ on 2008年10月29日(水) 19:52 JST

サーバをオビタスターさんに変えたのですが　サイトマップクリックで　以下のエラーが出ます

2 - htmlspecialchars() [function.htmlspecialchars]: Invalid multibyte sequence in argument @ /非公開領域/dataproxy/dataproxy.php line 294

dataproxy 1.1.3

sitemap 1.1.2

です

なにか対処方法はありますでしょうか

インクルードファイル直接呼び出し攻撃防止策を追加

投稿者: mystral-kk on 2008年10月29日(水) 21:30 JST

たぶん、MySQLの設定が変わったからでしょう。リンク集を拝見すると、「建材：内装　壁　ビニール」や「プロッタ・大判プリンタ」、「設計事務所・デザイン?」などのカテゴリ名が文字化けしています。

少し技術的な話になりますが、カテゴリ名はデータベース内でVARCHAR(32)として定義されています。最近のMySQLでは、これは「32文字」分のデータを収納できるという意味なのですが、古いMySQLや適切な設定がなされていないMySQLでは、これは「32バイト」分のデータという意味になります。UTF-8では、日本語の文字はたいてい 1文字=3バイトであり、32/3 = 10.6 なので、10文字分までしかデータベースに収納されていないようです。こちらのページのように、データベースやテーブル、列定義の際に文字セットをutf-8にする必要があります。オビタスターさんに（苦情として）処理を依頼した方がよいでしょう。

---
-- mystral-kk, "Every cloud has a silver lining."

Geeklog増殖計画

インクルードファイル直接呼び出し攻撃防止策を追加

検索

イベント

記事カテゴリ

ユーザー機能