CakePHP の PHP コード実行の脆弱性を使って CakePHP を焦がす - co3k.org
2010/11/13 に出たらしい http://bakery.cakephp.org/articles/markstory/2010/11/13/cakephp_1_3_6_and_1_2_9_released を読んでびっくりしたんですが、 Twitter を軽く検索した限りだと CakePHP ユーザでない僕が気づいているのに (日本の) CakePHP ユーザさんたちがどうも気づいていないっぽいのでわかりやすくまとめてみることにしました! CakePHP には任意の PHP コードが実行できる致命的な脆弱性があります! 影響のあるサイト結構ありそうですが悪用厳禁です! ※通常リリースの告知のなかにこんな致命的な脆弱性に関する情報を思いっきりわかりにくく書いちゃうのはひどいなあと思うので、ユーザの方は CakePHP に文句を言うといいと思います。僕は CakePHP ユーザじゃない
Zendでも、Symfonyでもなく、CakePHPを選んだ10の理由 - 個人事業主のつぶやき
C#のコラムをパチってやってみる 理由1 PHP4,5両方対応。 これは、開発者にはありがたい。 個人レベルだと、(お客がすでにサーバを借りていて)バージョンを選びようがない場合がある。 そんなときに、PHP4だったら、ZendもSymfonyも太刀打ちできない。 理由2 PEARに依存してない。 これも、理由1と同じ理由。 どこでも動くという確信を持って作れる。 あと、フレームワーク以外に依存を持つと、 実環境移行時に意外と面倒。 理由3 簡単設定 SymfonyはPEARに依存しまくっているので、 コマンドを叩けば、環境ができてしまうが、 CakePHPは解凍すればOK。この手軽さは譲れない。 Zendはフレームワークというより、ライブラリ群なので、 設定だけでも超大変だ。 理由4 モデルがスマート symfonyはYAMLかかにゃならんし、 Zend_DBは事前設定が面倒だし、SQL
変化の時(Nate AbeleがCakePHPプロジェクトから離脱してLithiumを立ち上げた理由) : candycane development blog
photo by gregchiasson cakephp.jpのフォーラムや一部のユーザの間でも話題になっていますが、4年間にわたってCakeの発展に貢献してきたプロジェクトマネージャのGarrett Woodworth氏とリードデベロッパのNate Abele氏が10/23頃にCakePHPのプロジェクトを去りました。 そして新たに立ち上げられたのがLithiumというそれまでCake3と呼ばれていたフレームワークのプロジェクトです。 色々と憶測を呼んでいましたが、Nate本人がこのあたりの経緯をLithiumのプロジェクトブログで語っています。 またNateの開発に対する姿勢は一般の開発者にとっても刺さる内容と言えると思いますのでCakeに関心がない方にもおすすめできます。 本人の了解の元に日本語訳を作ったのでここに掲載します。 原文 http://rad-dev.org/li
CakePHP版redmine candycaneのソースを公開しました - yandod's blog
http://thechaw.com/candycane https://www.ohloh.net/p/candycane まだまだきちんと動く状態では無いですが、gitリポジトリを公開に設定しました。 インストーラーや手順が整備されていないのでリリースではなく、開発状況の公開といったところです。 すでに30万行を超えるコードが存在する上に、実装上の思想が十分に統一されていない点があります。 合宿の際にも躓いたのですが特に難儀しているのは下記のようなところです。 リンクの表示の有無を権限によって出しわける部分 behaviorで表現された複雑なリレーション view内で容赦なく呼び出されるモデル yamlで格納されているデータの取扱い コードをシンプルにする為の工夫はまだまだあると感じていますが、まだ基本機能であるチケット管理やシステム設定の部分の実装が終わっていません。 その部分にめど
CakePHPのフローをみる [CakePHP情報]
CakePHP のエントリポイント(開始位置)しては以下3つがある。 メインは「/app/webroot/index.php」で最終的にはこれが呼ばれることになる。 ファイルを解凍し、ウェブサーバのDocumentRootに配置してすぐに使えるようにしていることを意図していると思われる。 セキュリティ的には、「/app/webroot/」のみを公開するほうがいいと思われます。 mod_rewrite 有効時は .htaccess の設定により必ず「/app/webroot/index.php」が呼ばれるようになる。 また、「/app/webroot/.htaccess」の設定により、指定されたURLのディレクトリもファイルも存在しない場合、index.phpがコールされる。 指定された URL はGETパラメータとして渡される。キーは「url」。 ex) http://bobch.in/c
極めたいw CakePHPのルーティング | Creazy!
先週のCakePHP勉強会で、akiyanさんが routes.php に関する発表をやっていて、今までになかったルーティング情報のまとめみたいな資料になっていて多くのBakerが目から鱗状態になったと思います。ボクもそんな中の一人ですが、忘れないうちに復習してみようとおもいます。 内容的には、 ・Routesの設定 :: 環境設定 :: CakePHPによる開発 :: マニュアル :: 1.2 Collection :: The Cookbook ・極める routes.php (CakePHP 1.2) : akiyan.com とかぶりますので、まずはそちらのページを熟読される事をオススメします。 また、routeの確認にはユニットテストが有効です。 shin1x1さんが詳しいエントリーを上げてくださったのでこちらも必読。 CakePHP routes.phpの確認はユニットテストで
atcms.jp - atcms リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
4/10〜4/12 CakePHP開発合宿アルファ版を行います! - yandod's blog
今年に入ってからCakePHP関連のイベントは東京でのハンズオンと福岡での勉強会とこれまでのイベントのアプローチを変えたものが開催されてきました。今回はさらに新たな試みとして合宿形式でのイベントを試験的に実施します。 なお今回は、本格的な合宿に向けての試験的な開催につき参加希望の方の中から何名かに参加して頂くという形式を取らせてください。今回での実績を元に次回は規模を拡大できればと考えております。 ■日程 2009年04月10日(金) 昼ごろ 〜 2009年04月12日(日) 昼ごろ の2泊3日 ■場所 箱根の温泉宿 ■費用 実費 15,830円(入湯税別) 朝・夕食付き ■内容 CakePHPを利用してオープンソースソフトウェアを開発するプロジェクトチームを結成します。このチームに参加するか、自分自身の作業をしながらサポートなどをして頂くような形になります。適宜、レビューの時間などを設け
CakePHPでCSRF対策
CakePHPでCSRF対策を行う方法です。 フレームワークに含まれているSecurityコンポーネントを使います。 Security#requestAuth()にアクションを記述しておくと、アクション実行前に正規リクエストかどうかをチェックします。チェックの方法はCSRF対策で一般的なワンタイムトークン方式です。 まずController#beforeFilter()にてチェックを行うアクションを指定します。 [app/controller/test_controller.php] < ?php class TestController extends AppController { var $name = 'Test'; var $components = array('Security'); function beforeFilter() { $this->Security->req
DB DesignerとCakePHPの連携·dbdesigner2cake MOONGIFT
個人的にPHPで開発をするなら使っているのがCakePHPだ。善し悪しはあれど、Rails風に使えるので、慣れと言う意味で便利に使っている。 だが、最大の問題はDBデザインとの連携がとれない点だった。Railsで言えばMigrationにあたる機能だ。これがないのが問題だと感じていたが、もっと素敵なものが存在していた。 今回紹介するオープンソース・ソフトウェアはdbdesigner2cake、DB DesignerとCakePHPを連携させるソフトウェアだ。 DB Designerは、Webアプリケーション開発の際に良く利用されるDB設計ツールで、オープンソースで手軽に利用できる利点もある。このdbdesigner2cakeではDB Designerで作ったXMLファイルを利用する。 生成されるのはControllerとModel、そしてViewだ。いわゆるScaffoldのようにDB定義
ZiSTA Cake: 1.2betaでrealpath()のエラー
posted by MAX on Created: 2008-01-16 08:23:04 Modifyed: 2008-01-16 10:19:38 1.2betaにしたところ以下のエラーが表示された。 warning: realpath() [function.realpath]: SAFE MODE Restriction in effect. The script whose uid is 10xxx is not allowed to access /usr/local/lib/php owned by uid 0 in /virtual/username_xxx/cake_1.2/cake/libs/configure.php on line 458 PHPがセーフモードで動いているサーバー(Xreaとか)ではrealpathという関数を使えないのかと疑った。realpa
CakePHP 環境に応じてDBの設定を変える
本番環境や開発環境など環境に応じてDBの設定を変える方法です。 1.AppModelを書き換える withcakeで紹介されている方法です。 AppModelのコンストラクタで切り替えるアイデアは分かりやすくて良いと思います。ちなみに記事のコメントにもあったのですが、記事のコードだとコンストラクタの引数がModelへ渡されませんので、修正版を以下に書いておきます。 [app/app_model.php] class AppModel extends Model { function __construct($id = false, $table = null, $ds = null) { $this->useDbConfig = $_SERVER['HTTP_HOST'] == 'devserver'?'test':'default'; parent::__construct($id, $
thtml - Shin x blog
CakePHPで作ったシステムを公開する時は、フレームワークが出力するデバッグ情報に気をつけましょう。 1. SQLログ DEBUG定数の値を2以上に設定すると実行されたSQL文がログとして画面に表示されます。通常本稼働する際はDEBUGを0にしてこの出力は抑制するのですが、たまに本稼働でもSQL文がログが出力されているサイトがあります。 ちなみにSQLログに含まれるキーワードをGoogleで検索すると出力したままのサイトが見つかったりします。 “queries took” “Took (ms)” – Google 検索 対策 [app/config/core.php]にあるDEBUGを0にしておきます。公開サイトでSQL文を確認したい場合はCakePHP SQLをログに記録する方法などを使ってログファイルに出力するのが良いでしょう。 [app/config/core.php] // de
CakePHP 公開する時はデバッグ情報を出さない
CakePHPで作ったシステムを公開する時は、フレームワークが出力するデバッグ情報に気をつけましょう。 1. SQLログ DEBUG定数の値を2以上に設定すると実行されたSQL文がログとして画面に表示されます。通常本稼働する際はDEBUGを0にしてこの出力は抑制するのですが、たまに本稼働でもSQL文がログが出力されているサイトがあります。 ちなみにSQLログに含まれるキーワードをGoogleで検索すると出力したままのサイトが見つかったりします。 “queries took” “Took (ms)” – Google 検索 対策 [app/config/core.php]にあるDEBUGを0にしておきます。公開サイトでSQL文を確認したい場合はCakePHP SQLをログに記録する方法などを使ってログファイルに出力するのが良いでしょう。 [app/config/core.php] // de
【CakePHP】独自の定数の書き方 | ねねとまつの小部屋
by 赤がすき Published 1 月 18th, 2008 in PHP, cakephp | (5) (0) (1) (0) Total: 6 CakePHPで、自分で定義した定数をどこに書くのか、 最も簡単なのは、app/config/core.phpに記述することですが、 core.phpはあまり触りたくないし、環境ごとに切り替えたりするのに不向きなので、 shin x blogさんのCakePHP アプリケーションの設定情報をまとめる 2.アプリケーション用の設定ファイルに記述する アプリケーション用の設定は[app/config/app.php]に記述してAppControllerで読み込む方法です。これならフレームワークの設定とは切り離せますし、各controllerでは設定ファイルを意識する事なくパラメータを使用できます。 を参考に、行ったのですが、 とい
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
第49回PHP勉強会@関東で発表してきました - kaz29
rkanbe @ ウィキ - トップページ
CakePHP開発合宿開始!&candycaneを開発します - yandod's blog