PHP Unconference Europe 2015

新しい INI 設定項目

PHP 5.2.0 で、php.ini に新しい項目が追加されました。

  • allow_url_include この便利なオプションを使用すると、 リモートファイルに対する通常のファイル操作と リモートファイルのインクルードを別々に制御することができるようになります。 前者はよくある要求ですが、 後者については何も考えずに使用するとセキュリティリスクとなる可能性があります。 PHP 5.2.0 以降では、リモートファイルの操作はできるけれども リモートファイルをローカルスクリプトにインクルードすることはできない という設定が可能となりました。実際のところ、これがデフォルトの設定となっています。
  • pcre.backtrack_limit PCRE におけるバックトラックの制限値。
  • pcre.recursion_limit PCRE の再帰処理の制限値。この値をあまり大きくしすぎると、 プロセススタックを食いつぶして (OS のスタックサイズの制限に到達してしまって) PHP がクラッシュすることがあるので注意しましょう。
  • session.cookie_httponly クッキーを、HTTP プロトコルでのみアクセスできるようにします。 つまり、JavaScript のようなスクリプト言語からはアクセスできなくなるということです。 この設定を使用すると、XSS 攻撃によって ID を盗まれる可能性が少なくなります (とはいえ、ブラウザによってはこれをサポートしていないものもあります)。

PHP 5.2.2 で新しく追加された項目です。

add a note add a note

User Contributed Notes

There are no user contributed notes for this page.
To Top