オンラインゲームのギルドのWEBサイトを作成して、アップローダを適当に拾って設置したは良いが、セキュリティ的に怪しげな箇所が結構あって修正が大変。というかそのままでは単純なXSS食らうようなスクリプトであった。修正箇所多すぎて、自分で最初から組んだほうがよかったんじゃないかと思ってきた。吐き出すHTMLもテーブルレイアウトでCSSほとんど使っておらず、改造しにくい。
とりあえず、
extractでPOSTを展開するとか、
区切り文字をエスケープせずにそのままデータ格納するとか、
表示するときにhtmlspecialchars()しないとか、
HTMLとロジックとがごっちゃになってるとか、
簡便してほしいな。。
Sponsored Link
コメント