foldrr's weblog

旧ブログ http://d.hatena.ne.jp/foldrr/

CakePHP の h() 関数に脆弱性

CakePHP の h() という関数は htmlspecialchars() の別名。
この関数は脆弱性があるらしい。
以下サイトに詳しい説明がある。

実際にソースを見てみる。

cake/basics.php

<?php
function h($text) {
    if (is_array($text)) {
        return array_map('h', $text);
    }
    return htmlspecialchars($text);
}
?>