kunitsuji
tsuji****@m-s*****
2010年 3月 18日 (木) 16:53:27 JST
kunitsujiです。 >http://codeigniter.jp/user_guide_ja/helpers/form_helper.html >には、 > >Note: このページにリストアップされたいずれのFormヘルパ関数を使うときも、値は >自動的に整形処理されるので、この関数を呼び出す必要はありません。自分で書いた >Form要素の中でだけ、この関数を使用してください。 > >とあります。 > >なので、Formヘルパーの関数を使う限り、htmlspecialchars() がかかると >理解するのが通常だと思います。 なるほど。 であれば、明らかにバグといえるんじゃないでしょうか? 1回目は整形されて2回目は整形されない、と書いてませんし。 >見解は今のところわかりません。バグトラッカーにみんなで「どうなんだ?」 >と書くといいかも知れませんが。 >バグ報告が Not a bug になってないので、即座にバグでないとは判断されて >ないということは言えると思います。また、修正されているわけでもないので、 >何かややこしい問題があるのかもしれません。 了解しましたー。書いてきますね。 >純粋に仕様だけ考えると、フレームワークとしては、ヘルパーが全部 >htmlspecialchars() を適用するというのが、いいんじゃないかと思います。 >適用漏れの可能性も減りますし。 たとえば、outputの出力で自動的にかけるようにして、 かけたくない出力を行う場合、それようのヘルパーなりを用意してもらうという のが 一番ありがたいです。 が、Smartyで出力する際に整形して出力することが一般的かと思いますが、 (MyNETSでもそうなっています) この場合、良く分からない開発者が「HTMLSPECIALCHRAAS」で処理を行うことを 知らないことが結構あります。 そう考えると、自動的はありがたいですが、理解しないで何も意識しないコード を書く人が結構生まれる気もします。。 なかなか難しい問題ですね。 脱線しますが、 某PHPレシピ本のように、「つけて当たり前」みたいな書が今までにあまり存在 してこなかった、というのが大きな理由でしょうか。 > >// Kenji > > >> その場合、報告の内容が変わってくると思いますが。 >> >> 2回目以降もかかるべきものが、かかっていない、という認識、仕様であれば、 >> set_value()の扱い方の注意勧告としてでるべきではないかと思います。 >> >> >> >> >Kenji です。 >> > >> > >> >On Wed, 17 Mar 2010 14:29:36 +0900 >> >溝口 令雄 <mizog****@gmail*****> wrote: >> > >> >> ■脆弱性関連情報の届出 >> >> http://www.ipa.go.jp/security/vuln/report/ >> >> >> >> には登録されてますでしょうか? >> > >> >してません。もともと私が見つけたときには、すでに本家 Forum に >> >あがっている情報でしたし、届け出などはするつもりがなかったので >> >勝手に公表してます。 >> > >> > >> >> JVNで周知されるべきレベルの問題のようにも思います。 >> > >> >そうですね。そういうルートでやるのもいいかもしれませんね。 >> > >> >JVN で周知されるべきだとの考えに賛同される方のどなたか >> >お願いします。私はすでにガイドラインにしたがっていないので。 >> > >> > >> >// Kenji >> > >> >_______________________________________________ >> >Codeigniter-users mailing list >> >Codei****@lists***** >> >http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users >> >> _______________________________________________ >> Codeigniter-users mailing list >> Codei****@lists***** >> http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users > >_______________________________________________ >Codeigniter-users mailing list >Codei****@lists***** >http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users
