【PHP】フレームワーク CakePHP　3ホール目【本命】

【PHP】フレームワーク CakePHP　3ホール目【本命】 at PHP

688:nobodyさん
08/04/18 02:46:06
>>682
んーと、SQLインジェクションとか攻撃者が故意に行うものとは違うんだけど、
まぁ広義の意味でセキュリティの問題だとは思うよ。

つーのも、MySQL4系ってあれなのよ、予め決めたカラムの型よりデカいデータ食わせると
勝手に型に合わせてデータ削って無理やり挿入してくれちゃうのよ。
例えばvarchar(4)でカラム作ってそこに"unkotintin"ってデータ突っ込んでも、うんこしか保存されないわけ。

他にも''をNULLと解釈してくれたり、2008-02-31を許容してくれたりと
入力データに対して大変大らかな実装なんよね。

で、それってちょっとマズいだろ、入力データが型に合ってない＝異常事態なんだから
強制保存すんな！ロールバックしろヴォケ！と思う人も当然いる訳で
そんな感じの背景があってMySQL5系から型チェックを厳しくするモードが実装されたと。

CakePHPの場合だと、INSERTする時にidの数字をauto_incrementに任せる訳だけど、
そこで発行されるSQLがid = ''って指定されてるから「そこ文字列入れる所じゃねーよ！」って怒られる。
んだからセキュリティホールよろしく第三者に直接叩かれるって心配はないよ。

余談だけど、STRICT_TRANS_TABLESはInnoDBとかトランザクションをサポートしてねーと使えねーべ。
MyISAMで構文チェックさせる時はSTRICT_ALL_TABLESなー。

次ページ

続きを表示

1を表示