[PHP-dev 1547] pgsqlモジュールの問題

classic Classic list List threaded Threaded
1 message Options
Reply | Threaded
Open this post in threaded view
|

[PHP-dev 1547] pgsqlモジュールの問題

Yasuo Ohgaki
大垣です。

Facebookで友達限定で公開した内容をこちらにもポストします。
バグデータベースに一年以上マニュアルの問題としてレポートされていたので、広く公開するのは考え物ですが、積極的に隠す必要はあまりないと考えています。

特に古いPostgreSQLを使っている方にテストしていただけるとありがたいです。

==========================
PHPのPostgreSQLのpg_insert/
select/update/deleteを最初に実装したのは私ですが、他の方が色々拡張やコードの変更をしてくれていました。bug.php.netをブラウズしているとpg_selectをマニュアル通りに使うと危ない、マニュアルの間違いである、とレポートされているのを見ました。

あれ?っと思って今のコードを見てみると英数字のみでバリデーションしていたコードがなくなり、php_addslashesで識別子がエスケープしてありました。。。

ということでセキュリティパッチを作ったので友達限定で公開します。PHP5.3(多分5.2も大丈夫)以降ならほとんどそのまま適用できると思います。

https://github.com/yohgaki/php-src/compare/PHP-5.3-pg_select_fix

まだあまりテストしていないですが、大丈夫だと思います。テストしていただける方と問題がある場合のレポートを期待して投稿します。

このパッチは次かその次のPHPリリースに適用されると思います

--
Yasuo Ohgaki
[hidden email]

_______________________________________________
PHP-dev mailing list
[hidden email]
http://ml.php.gr.jp/mailman/listinfo/php-dev