파일이름에 quotation이 있을 경우 짤리는 문제

[inureyes]

개요

• 파일이름에 quotation이 있을 경우 짤리는 문제가 있습니다.
• reported by 로즈 ( http://forum.tattersite.com/ko/viewtopic.php?pid=27951#p27951 )

[creorix]

테스트해본 결과 PHP단에서 magic_quotes_gpc를 off하지 않으면 아예 $_FILES 배열에서 quote 다음이 잘려서 들어옵니다. (magic quotes에 의해 laplace's equation.txt가 laplace\'s equation.txt가 되고, basename으로 자를 때 /와 \를 기준으로 자르므로 's equation.txt가 되는 것 같습니다.) $_FILES 배열만 잘 들어오면 stripslashes로 해보려고 했더니 안되네요 ;;

[inureyes]

텍스트큐브 동작시 unifiedenvironment에서 set_magic_quotes_gpc 으로 강제로 해당 값을 줘버리도록 하면 동작에 큰 문제가 생길까요?

[inureyes]

Replying to inureyes:

텍스트큐브 동작시 unifiedenvironment에서 set_magic_quotes_gpc 으로 강제로 해당 값을 줘버리도록 하면 동작에 큰 문제가 생길까요?

그러고보면 이미 그 처리를 하도록 해 놨던것 같은 기억이...

[inureyes]

Replying to inureyes:

Replying to inureyes:

텍스트큐브 동작시 unifiedenvironment에서 set_magic_quotes_gpc 으로 강제로 해당 값을 줘버리도록 하면 동작에 큰 문제가 생길까요?

그러고보면 이미 그 처리를 하도록 해 놨던것 같은 기억이...

Eolin.PHP.UnifiedEnvironment 컴포넌트에서 FILES에 매겨진 주석을 해제하고 한 번 테스트 해 보시기 바랍니다~

[inureyes]

Changeset: [6268]

#1012

• FILES 관련 특수문자 허용하도록 수정

[creorix]

magic_quotes_gpc는 excution time에서 설정이 불가능합니다. 그리고 magic_quotes_gpc = on인 경우 애초에 $_FILES에 들어오는 파일명이 addslashes 처리가 된 파일명이 아니라 addslashes + basename이 처리된 파일명입니다. 그래서 예를 들어 laplace's equation.txt를 test라는 이름으로 업로드할 경우, 아무 처리를 하지 않았음에도 $_FILEStest?name?은 laplace\'s equation.txt가 아닌 's equation.txt가 되어버립니다. (즉 스크립트상으로는 처리할 방법이 없습니다)

p.s. 저도 처음에 UnifiedEnvironment에서 이것저것 해보다가 다른 문서에 form만 만들고 $_FILES를 print_r로 찍어보았더니 저런 결과가 나오더군요.

[creorix]

아 그리고 tmp_name은 magic_quotes의 영향을 받지 않기 때문에 단순히 $_FILES 전체를 stripslashes 처리하면 tmp_name을 못 찾아서 업로드가 되지 않는 현상도 생깁니다 :(

[inureyes]

Changeset: [6269]

#1012

• [6268] 롤백
• 뭐 별 방법이 없네요. ~
• 보안상 문제로 magic_quote옵션을 끄는 경우가 많은 것에 기대를 걸어 봐야 하나...

[creorix]

해결 방법이 없으니 wontfix로 두고 닫는 것이 어떨까요?

[creorix]

위에서 티켓 닫은 것은 실수입니다 ;;;