[[セキュリティ指針]]

NULLバイトアタック

説明

PHPのString変数は、Nullを終端文字として扱うため、ファイル文字列中にNullなどが入っていると、配列としては文字が存在していても、そこをNull文字として判断してしまう。

次のサイトを参照 ttp://ns1.php.gr.jp/pipermail/php-users/2003-January/012742.html

対策

あらかじめサニタイング時にNULLバイトを削除しておく。

コーディング手法

str_replace("\0",'',$string);