-
2136e64c :Anonymous
2015-03-05 08:33
-
>>3c8a4451
その処理では通常接続してきたクライアントアドレスを利用する有効なIPアドレスが使われる。
もちろん、IPアドレスを文字列として扱う場面がある以上、変換後の文字列を改ざんするなどの攻撃を否定することはできない。しかし例え正規表現で厳密に表現をしていたとしても有効なアドレスに偽装すればすり抜けてしまうのだから、効果がどれほどあるのか疑問
ユーザからの入力を利用するわけではないのだから、必要以上に厳密に判定する必要は無いんじゃないかな
参考として192.168.0.0/16の範囲のアドレスにマッチする正規表現はこんな感じ
192\.168\.([1-9]?[0-9]|1[0-9][0-9]|2[0-1][0-9]|22[0-5])\.([1-9]?[0-9]|1[0-9][0-9]|2[0-1][0-9]|22[0-5])
Powered by shinGETsu.