konekto Inc with PHP , MySQL コネクト株式会社 技術情報コンテンツ


セキュリティ指針

NULLバイトアタック

説明

PHPのString変数は、Nullを終端文字として扱うため、ファイル文字列中にNullなどが入っていると、配列としては文字が存在していても、そこをNull文字として判断してしまう。

次のサイトを参照 ttp://ns1.php.gr.jp/pipermail/php-users/2003-January/012742.html

対策

あらかじめサニタイング時にNULLバイトを削除しておく。

コーディング手法

str_replace("\0",'',$string);

最終更新のRSS