リクエストパラメータを(string)キャストしてるのは
PHPの仕様的に$_POST['foo']が配列になる事があるからだよ
だから>>344だけでは駄目で
少なくともis_string()を追加する必要がある
大垣さんとかPHP界隈のセキュリティで有名な人は言及してるけど
ここら辺まともに書けてる本を俺は見た記憶がない
で、フレームワークってのはこういうところもきちんとチェックしてる
だからフレームワークを使った方がいいよという話
>>341の言う通り使う側の問題なんだけど
知らなくても動いているように見えてしまうというのは罪な事だね
