OpenPNEのツッコミどころ
OpenPNEでおかしなところを挙げていきます。
携帯電話のメールアドレスが正しく判別できない
携帯のアドレスかどうかを以下のコードで判別してますが、、
webapp/init.inc
// 携帯メールのドメイン名 $GLOBALS['OpenPNE']['KTAI_DOMAINS'] = array( 'docomo.ne.jp', 'ezweb.ne.jp', 'softbank.ne.jp', 'd.vodafone.ne.jp', 'h.vodafone.ne.jp', 't.vodafone.ne.jp', 'c.vodafone.ne.jp', 'r.vodafone.ne.jp', 'k.vodafone.ne.jp', 'n.vodafone.ne.jp', 'q.vodafone.ne.jp', 's.vodafone.ne.jp', 'pdx.ne.jp', 'di.pdx.ne.jp', 'dj.pdx.ne.jp', 'dk.pdx.ne.jp', 'wm.pdx.ne.jp', 'disney.ne.jp', );
webapp/lib/util/util.php
function is_ktai_mail_address($mail) { $pieces = explode('@', $mail); $domain = array_pop($pieces); return in_array($domain, $GLOBALS['OpenPNE']['KTAI_DOMAINS']); }
メールアドレスのアットマーク『@』以降が、$GLOBALS['OpenPNE']['KTAI_DOMAINS']配列にあれば、携帯電話と判断しています。
えーと、これのどこがおかしいの?って思う人がいるかもしれませんね。
「普通に考えたら、これで全部でしょ?まさかiPhoneの『i.softbank.jp』が抜けてるって程度じゃない」
って言ったあなたは『普通』の人です。
『普通』の人以外のアドレスがあるんです。
auの法人向けビジネスメールアドレスは、携帯電話ですが
○○@△△.biz.ezweb.ne.jp
というアドレスです。
LDAP認証のエスケープ漏れ
ここについては、漏れがあったのですが、どこだか忘れました。
確かパスワードのエスケープが足りなかったんだと思います。
LDAP認証を使ってる人は少ないうえ、エスケープ対象文字も5つとごくまれなケースです。
magic_quotes対策の漏れ
webapp/init.inc内で
magic_quotes_gpcについて、$_GET、$_POST、$_REQUESTについては対策がされています。
gpcってGET、POST、COOKIEの意味です。
COOKIEの処理が抜けてます。
OpenPNEではクッキーは重要な使い方はされていないので、カスタマイズするときには注意が必要です。
関連記事
- PHP
- facebook APIを使用する時にfacebook Appsでアプリを登録するまでの流れ
- 『サイトが移動しました』を出さない方法
- strtotimeでmonthを使用するときの注意点
- cron実行時に『/bin/sh: 〜〜: command not found』と出てcronが実行されない場合
- コマンドやphpMyAdminで複数のデータベースに接続できるユーザーを作成する方法
- PHPでPDFファイルを作成する FPDF FPDI TCPDF
- セッション固定攻撃(session fixation)
- yumで、より新しいパッケージをインストールする方法(CentOS)
- date.timezoneを設定するとPHPが早くなる
- phpMyAdminでログイン画面を出さずにデータベースに接続する方法
- 画像の保存やメール転送を制限する方法
- OsCommerce
- Excelの日付が数字になるときの対処法
- ファイルダウンロード時のファイル名が文字化けする対処法
- str関数、preg関数、ereg関数の速度比較
- 例外処理(Exception)
- SSL通信かどうか
- 複雑なExcelファイルをプログラムで作成する方法
- Apacheで所有権や書き込み権限があるにも関わらずPermissions deniedが出る場合
- docomo端末でCSSを使うには
- Fatal error: Call to undefined function imagecreatefromjpeg() の対処法
- さくらサーバ(さくらのレンタルサーバ)でcronを使ってPHPを定時実行する
- Windows版PHPにPEAR・PECLをインストールする
- phpBugTracker [バグ追跡システム]
- 正規表現のパターン文字列に日本語文字を使うときの注意
- file_get_contentsで$http_response_headerを使用するときの注意点
スポンサーリンク