もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
「IT業界」なんて、ないんだよ
このエントリは、新卒準備カレンダー 2011春のためのもので、@shuji_w6e さんの「実践する、コツコツと、少しづつ」の次のエントリになります。 おまえ誰よ? 高橋征義と申します。プログラマです。プログラミングはかれこれ30年近くやってますが、まともに書けるようになったのは20年近くたってからです。人間続ければ何とかなることもあるんですね(ならないこともあります)。 修士の1年のとき、高校時代の友人から「インターネットのベンチャー会社作るんだけど一緒に働かない?」と言われ、あまり何も考えずに修了後その会社に参加しました。1996年、Webが流行り始めたころのことです。 そこから一度転職をはさみ、10年以上Web業界の隅っこの方で開発仕事に励んでいたのですが、昨年3月に退職、6月に電子書籍の制作と販売を行う「株式会社達人出版会」という会社を設立して、今はそこの代表取締役です。いやまあ社
爱好中文网 - 最好看的免费小说阅读网
【简繁】过尽千帆-中短篇H虐文合集 故事1是他的女儿也是他的妻子(nph):妈妈因她过世之后,她就担任起妈妈的所有职责,包括在床上取悦爸爸 /妈妈因她过世之后,她就担任起妈妈的所有职责,包括在床上取悦爸爸 ☆简繁同发 / 简繁同发1000字? 50po 缘更 /? 缘更--------------------------------? 七月晴连载0万字高辣 教师 《人妻教师》作者:弘扬|2011年末开始写的文章,后来忙了一段时间所以断了,现在有时间接着写还是那句话,调教老婆本来就是男人的责任! 午夜人屠连载12万字高辣 [综武侠]移花宫主她超忙的 上一个二十年,是邀月燕南天等人的江湖。这个二十年,江湖群杰,移花宫主花满园一枝独秀。移花宫主花满园,她曾远赴大漠打败快活王与石观音,也曾在孤岛与燕南天生死决斗。有人说她是江南第一美人,百晓生却说她是天下第一美人。她男友众多,从塞北的西门吹雪,到南
PHP逆引きレシピは概ね良いが、SQLインジェクションに関しては残念なことに - ockeghem's blog
404方面でも絶賛されていたPHP逆引きレシピを購入した。本書はとても丁寧な仕事で素晴らしいと思ったが、セキュリティに関しては若干残念な思いをしたので、それを書こうと思う。 目次は以下のようになっている。 第1章 準備 第2章 PHPの基本構文 第3章 PHPの基本テクニック 第4章 ファイルとディレクトリ 第5章 PEARとSmarty 第6章 Webプログラミング 第7章 クラスとオブジェクト 第8章 セキュリティ 8.1 セキュリティ対策の基本 8.2 PHPの設定 8.3 セキュリティ対策 第9章 トラブルシューティング 第10章 アプリケーション編 PHP逆引きレシピ オフィシャルサポート 本書は、タイトルの示すように、コレコレしたいという目的ごとにPHPでの書き方が書かれている。よくある逆引き辞典タイプの本だが、類書に比べて丁寧に書かれている印象を受けた。私が感心したのは、PH
良いプログラマを目指すなら「Java並行処理プログラミング」は今すぐ読むべき - higepon blog
Java並行処理プログラミングを読み終えた。ここ 1 年に読んだ技術書の中でダントツのベスト。(2位はWorking Effectively With Legacy Code) 「Java の本だから関係ない」と思った人にこそ読んで欲しい。僕もここ数年 Java のコードなど一切書いていないが、この本を読んで得たものは非常に大きかった。 この本では マルチスレッドプログラミングにおける問題と背景、その対処方法 Java が提供している API の設計と実装 を解説している。分かりやすさとレベルの高さを兼ね備えたとても良い本。翻訳も最高。 僕はこの本を読んで、Java の並行処理プログラミングは、想像を遙かに超えて進化している事に驚きを隠せなかった。何回も twitter で Java すげーと叫んだ。 これを読んでしまうと、最近僕が熱心な Scheme も含めて、自分の身の回りにあるプログ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
