新しい INI 設定項目
PHP 5.2.0 で、php.ini に新しい項目が追加されました。
-
allow_url_include
この便利なオプションを使用すると、
リモートファイルに対する通常のファイル操作と
リモートファイルのインクルードを別々に制御することができるようになります。
前者はよくある要求ですが、
後者については何も考えずに使用するとセキュリティリスクとなる可能性があります。
PHP 5.2.0 以降では、リモートファイルの操作はできるけれども
リモートファイルをローカルスクリプトにインクルードすることはできない
という設定が可能となりました。実際のところ、これがデフォルトの設定となっています。
-
pcre.backtrack_limit
PCRE におけるバックトラックの制限値。
-
pcre.recursion_limit
PCRE の再帰処理の制限値。この値をあまり大きくしすぎると、
プロセススタックを食いつぶして (OS のスタックサイズの制限に到達してしまって)
PHP がクラッシュすることがあるので注意しましょう。
-
session.cookie_httponly
クッキーを、HTTP プロトコルでのみアクセスできるようにします。
つまり、JavaScript のようなスクリプト言語からはアクセスできなくなるということです。
この設定を使用すると、XSS 攻撃によって ID を盗まれる可能性が少なくなります
(とはいえ、ブラウザによってはこれをサポートしていないものもあります)。
PHP 5.2.2 で新しく追加された項目です。