hnw https://blog.hatena.ne.jp/hnw/ hnwの日記 https://hnw.hatenablog.com/ PHP mb_ereg_replace関数でe修飾子を使ってevalする場合の注意点をまとめてみました。 概要 マニュアルの下記引用部にもあるとおり、mb_ereg_replace関数はe修飾子の指定があっても特にエスケープなどを行いません。 信頼できない入力に対しては、絶対に e 修正子を使用してはいけません。 (preg_replace() と同様、) 自動的なエスケープは行いません。このことを忘れていると、自分の書いたアプリケーションにリモートコード実行の脆弱性を作りこんでしまうことになります。 PHP: mb_ereg_replace - Manual preg_replaceでe修飾子をつけ… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fhnw.hatenablog.com%2Fentry%2F20110206" title="mb_ereg_replace関数でe修飾子を使う際の注意点 - hnwの日記" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2011-02-06 00:00:00 rich https://hnw.hatenablog.com/entry/20110206 1.0 100%