もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
WordPressで時差分ずれない著作権年号表示の仕方 – Simple Colors
フッターにある「Copyright © YYYY ・・・ 」のYYYYにあたる年号を自動的に表示する方法として、CODE 1を紹介していることがあります。 CODE 1 <?php echo date( 'Y' ); ?> ただ、WordPressの2.9以降では、内部の時刻計算をGMT(Greenwich Mean Time:国際標準時)で行っているため、CODE 1 では日本との時差分9時間ずれてしまうことになるって知ってましたか? まあ、微々たる差とは言え、やっぱりピタリと切り替えたいと思うのが人情というものではないでしょうか。そんな繊細な貴君に使ってもらいたいのが、CODE 2 CODE 2 <?php echo date_i18n( 'Y' ); ?> date_i18n 関数の第2引数、第3引数を省略すると、自動的に現地時間の現在時刻を返すようになるので、時差の心配をしたり、計
3.2 アップグレードに伴う問題とその解決方法
アップグレードの前に、必ず変更を加えたサイトファイルとデータベースのバックアップを行いましょう。 エラーに遭遇したら、質問をする前にまず以下を試してみて問題の切り分けを行ってください。 プラグインを全てオフ テーマを現バージョンのデフォルト(Twenty Eleven)に変更 手動で最新版の WordPress ファイルを再度すべてアップロードして管理画面にアクセス 2.8 アップグレードのトラブルシューティングや Codex のページにまとめがあります。多くの問題はこれらを読めば解決するはずです。 ————————————————— 以下は Ipstenu さんが英語版フォーラムに投稿した、Troubleshooting WordPress 3.2 – Master List スレッドの内容を一部抜粋・加筆したものです。 リンク先は英語です。 一般 ブラウザが旧式・安全でないと言われる
PLEAC - Perl CookbookのベストプラクティスをPython,Ruby,PHPなど多数の言語で書いたどうなるか | TRIVIAL TECHNOLOGIES 4 @ats のイクメン日記
みんなのIoT/みんなのPythonの著者。二子玉近く160平米の庭付き一戸建てに嫁/息子/娘/わんこと暮らしてます。月間1000万PV/150万UUのWebサービス運営中。 みんなのブロックチェーンは,ブロックチェーンの入門書。暗号やハッシュなどを含め,基礎からブロックチェーンの仕組みを学べる書籍です。 いろんな方に「新しい技術を学ぶことの楽しさ」を感じ取ってくれたら著者として嬉しいです:-)。お金は技術的にどのように定義されるのか。 みんなのIoTは,モノのインターネットと呼ばれるIoTの入門書です。IoTの基本について,読者に寄り添って優しく解説しました。裏テーマは一番とっつきやすいPython入門書。サポートページはこちら みんなのPython 第四版は,より分かりやすい入門書を目指し,機械学習やデータサイエンスの章も追加して第三版を大幅に書き換えました。Python 3.6にも華
サイト運営をやってみて起こった6つの「想定外」
1ヶ月ほど前に、アノニマスダイアリーでサービスの紹介させてもらった「完全に一致」のおっさんです。 昨年11月25日に公開させてもらったサービスですが、公開から約1ヶ月半の間、いくつも思ってもみなかった事が起こりました。 誰かに聞いて欲しいものの、例のSEの友人が精神的な病で倒れてしまい聞いてくれる人もおらず、 Twitterでは短すぎてかけず、なおかつブログもないのでここに書かせてもらいます。 「なんだ、またかよ」という方、お目汚し失礼しました。 想定外1:サーバーが幾度となくダウン最初の記事を書いて、初日から約1週間で300万アクセスがあり、この間何度もサーバーが応答しなくなるという事態に陥りました。 MySQLサーバーとWEBサーバーの調整を教えてもらったお陰で、かなりダウン回数減らす事ができたものの、結局全然処理が間に合ってくれませんでした。 一番のネックになったのは画像の変換処理と
PHP で著作権表示の年を自動更新
PHP を使ってサイトの 著作権表示 (コピーライト) の年を自動で更新したいとき、よく用いられるのが以下のようなコードです: © 2001–<?php echo date('Y'); ?> Example.com このコードが埋め込まれたページを 2010 年に見た場合、© 2001–2010 Example.com と出力されます。 これは 2001 年に公開されたサイトの例ですが、ではこれから新しく公開するサイトの場合はどうでしょうか。上記の書式をそのまま当てはめると、たとえば 2010 年に公開されたサイトを同じ年に見た場合、出力結果は © 2010–2010 というおかしなことになってしまいます。 そこで、2010 年の間は © 2010 と表示されて、2011 年になったところで © 2010–2011 と更新されるようにしてみます: © <?php $th
phpの変数展開まとめ - milieuの日記
backtickさんのコードをみて初めて知ったけど、PHPの変数展開(ダブルクォテーション中の波括弧、文字列中の置換とかなんとか)は意外と複雑。 $hoge = 'fuga'; echo "$hoge" ; #fuga が出力される echo "${hoge}"; #fuga が出力される echo "${'hoge'}"; #fuga が出力される・・・ echo "${"hoge"}"; #fuga が出力される(parse errorじゃないのか!) ついでに関数も展開できるらしい $f = 'str_repeat'; echo "{$f('abc ',3)}"; #abc abc abc が出力される echo "{$f('abc ', 1 + strlen("aa"))}"; #abc abc abc が出力される どうやら関数の引数はワンライナー書き放題っぽい。しかし、単にダブ
php – 短縮URLを一行で展開する
エレクトロニック・サービス・イニシアチブのWebシステムのコンサルタントのブログです。Webシステムを対象としたセキュアコーディング/セキュアプログラミング、SAMM、ソースコード検査、Webシステム開発、パフォーマンスチューニングの技術支援、コンサルティング、セミナー開催、書籍などの執筆、PROVE for PHPの開発、PHP4.x/5.xレガシーPHPセキュリティパッチサービスなどを行っています。 ブログのサブタイトルを「書かない日記」としているのは、ブログを始めた時にあまり書かないつもりで始めたのでこのサブタイトルになっています。 氏名:大垣 靖男 私が記述したブログ中のコードは記載が無い場合はMITライセンスです。その他のコードは参考リンクなどのライセンス情報を参照ください。 ご依頼・ご相談は info@es-i.jp まで。
手を動かして覚えるPHP 5.3新機能 日付(DateTime,DateInterval)編 | Act as Professional
重要なことだから最初に伝えておくと、PHP5.3からは日付や時間の計算にUNIXTIMEなんて使わないでね。 2038年問題とかパッとみて、「これ何日間なの?」とか計算するのは、さよならしましょう。 手元にPHP5.3環境がある人は、インタラクティブモードを利用して実践しながら読むことをおすすめします。 さぁ、コンソールをひらいて、下記のコマンドを実行しましょう。 $ php -a DateTimeオブジェクトPHP5.3から導入された新機能として、日付に関するオブジェクトが増えました。 それが、DateTimeオブジェクトです。 $now = new DateTime(); echo $now->format("Y-m-d H:i:s") . PHP_EOL; 2010-12-28 23:00:20+09:00昨日、明日、来週、来月はこんな感じ。 $yesterday = new Dat
Googleブックスで読めるソフトウェア開発に関する本たち - 俺がぐったり部だ!
Googleブックスの騒ぎを知って約1年。気づくと今そこには「読んでみたかった!」という本が数多く載せられていることを知りました。 さて、そこでゲーム開発にも応用できる知識を中心に私がチョイスしたのが以下の本たちです。もちろんGoogleブックスではこれら以外にもまだまだ多くの本を閲覧することができます。これらを読めば、本には本当に知識と情報がまとめられているということ、著者たちの努力を発見できると思います。 ゲームデザイン 「おもしろい」のゲームデザイン: 楽しいゲームを作る理論 シリアスゲーム デジタルゲーム学習: シリアスゲーム導入・実践ガイド ユーザビリティエンジニアリング原論: ユーザーのためのインタフェースデザイン 人はなぜ形のないものを買うのか: 仮想世界のビジネスモデル ゲーム理論の基本と考え方がよ〜くわかる本 ノベルゲームのシナリオ作成奥義 ライトノベル創作教室 すごい人
PHP試験が秋に開始、オライリー本が教科書 既存書籍を使い、受験料安く − @IT
ユニークなのは、すでに市販されている書籍を「主教材」とし、これに基づいて試験を行う点だ。副理事長に就任予定の吉政忠志氏は、「市販本でローコストオペレーションが可能になる」と話す。「ざっと見渡したとき、すでに書籍がたくさんある。独自の教材を作る作るコストがもったいない」(吉政氏)。主教材は市場で評価の高いオライリーのものとしているが、既存のeラーニングや書籍も申請手続きを経ることで副教材として「認定」のお墨付きが得られる。また、すでに全国に38校あると見られるPHPを教えるスクールについても、認定スクール、認定コース、認定インストラクターとして登録できる制度を整える。 受験料を抑えるビジネスモデルを採用したのは、個々のエンジニアが自主的に学習してスキルアップできる環境を日本でも整えたい、という思いがあるからだという。ベンダが主体となって運営する資格試験や、企業がエンジニアに取得を推奨したり、
PHP + Twitpic API v2 で、ファイルをアップロード
※ api.twitter.com/1 以外のパスでは動作しませんでした。 ここでテストしたのは自分のアクセストークンですが、通常の認証プロセスを使うと、任意のユーザが任意のサービスで得た画像をそのまま Twitpic にアップロードする事が可能になります。 ( v1 でも可能でしたが、v2 で、認証情報のシークレット部分が他人に渡る事はありません ) <? // ********************************************************** // 資格情報の確認 ( verify_credentials ) // ********************************************************** header( "Content-Type: text/html; Charset=utf-8" ); header( "
PHPで1599年以前の曜日計算がおかしい - hnwの日記
(2010-04-24 17:40)内容を補足する意味で「グレゴリオ暦が採用された時期とプログラミング言語の対応」「ユリウス暦を扱いたい場合」を追記しました。 PHPの日付まわりの処理にバグを見つけました。1599年以前の日付の75%程度の曜日を誤判定するバグがPHP 5.3.2までの全バージョンに存在します。 たとえば1599年12月31日は我々の現在使っているグレゴリオ暦で金曜日なのですが、PHPは土曜日と判定します。 <?php date_default_timezone_set('Asia/Tokyo'); $datetime = new DateTime; $datetime->setTime(0,0,0); // string(31) "Sat, 31 Dec 1599 00:00:00 +0900" $datetime->setDate(1599,12,31); var_du
PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!
Cloud Computing Services | Microsoft Azure
Explore Azure Get to know Azure Discover secure, future-ready cloud solutions—on-premises, hybrid, multicloud, or at the edge Global infrastructure Learn about sustainable, trusted cloud infrastructure with more regions than any other provider Cloud economics Build your business case for the cloud with key financial and technical guidance from Azure Customer enablement Plan a clear path forward fo
PHP+OAuthでTwitter - SDN Project
PHP+OAuthでTwitter Twitterで最近よく見る「OAuth」、オース or オーオースって多分読むのでしょうが、これは簡単に言うとTwitterの新たな認証方式といえます。 今まではBasic認証が一般的でしたが、将来的にセキュリティ面で非推奨になるといわれているらしく、Twitterは今後はOAuthを推奨しています。 英語ですが、そのように書いてあります。 →Twitter API Wiki / Authentication ただ、Basic認証は手軽に出来るものでしたが、OAuthはちょいと手間がかかったりもするのでそんなにさっさと移行できるものではなかったりもしますが。 まぁOAuthについては、しばさんが詳しく書かれているのでそちらを参照していただくと早いかもしれないです。 内容はRuby+OAuthですが、プログラム部分以外は共通しています。 →Twit
PHPでTwitter APIのOAuthを使う方法まとめ
この記事以降 Twitter API の仕様が変わっており、このままでは正しく機能しない場合があると思います。近いうちに今のやり方を書くので、それまで参考程度にご覧ください。 Twitter API の OAuth でひととおりやってみた。 忘れないようにメモ。 大雑把な流れ Twitter にアプリケーションを登録する。 Consumer Key と Consumer secret を取得する。 リクエストトークンを取得する。 認証用 URL を取得する。 ユーザーから承認を受ける(bot の場合は自分でやる)。 アクセストークンを取得する。 API にアクセスする。 以下、やった作業の手順です。 事前準備 HTTP_OAuth を使えるようにする OAuth の通信部分そのものは PEAR の HTTP_OAuth を使うことにしたので これをインストールする。 一番めんどくさい部分を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PHPでセキュリティを真面目に考える
WordPress の各種ディレクトリへのパスを取得するタグまとめ
この先生きのこるには
