2008-04-16 CakePHP の h() 関数に脆弱性 CakePHP の h() という関数は htmlspecialchars() の別名。 この関数は脆弱性があるらしい。 以下サイトに詳しい説明がある。 http://www.blueocean.bz/blog/cakephp/2008/04/15/h-%e3%81%ae%e8%84%86%e5%bc%b1%e6%80%a7/ 実際にソースを見てみる。 cake/basics.php <?php function h($text) { if (is_array($text)) { return array_map('h', $text); } return htmlspecialchars($text); } ?>