Laravel <= v8.4.2 debug mode: Remote code execution
Posted By Charles Fol laravel rce debug file write file read CVE-2021-3129 Laravel <= v8.4.2 debug mode: Remote code execution (CVE-2021-3129)In late November of 2020, during a security audit for one of our clients, we came accross a website based on Laravel. While the site's security state was pretty good, we remarked that it was running in debug mode, thus displaying verbose error messages inclu
5年間 Laravel を使って辿り着いた,全然頑張らない「なんちゃってクリーンアーキテクチャ」という落としどころ
この記事は Laravel Advent Calendar 2020 - Qiita 最終日の記事です。 TL;DR DDD や "真の" クリーンアーキテクチャは, Web 業界における大抵の現場ではオーバースペックだし,導入しても全員がついてこれるとは限らない app/UseCases ディレクトリだけ切って,ドメインごとに単一責務なクラスを置くと使いやすいよ ActiveRecord 指向のフレームワークで Repository パターンを無理に導入すると死ぬので, UseCase で Eloquent Model の機能を使うことを恐れるな はじめに Zenn では初投稿です。日本の Laravel コミュニティではもうお馴染みのようで実はあまり顔を出していない(?) @mpyw と申します。オンラインサロンの火付け役となった Synapse が最初の仕事でしたが,就職後すぐ会社が
ゼロベースから Laravel を用いた
API 実装オートメーション - Speaker Deck
Speaker Deck This deck requires a password Password
Laravel の脆弱性 CVE-2017-14775 の対処法 - Innovator Japan Engineers’ Blog
こんにちは。エンジニアの @localdisk です。2017/09/27に CVE-2017-14775 という Laravel の脆弱性が報告されました。CVE-2017-14775 はオートログイン処理に*1タイミング攻撃の脆弱性があるというものです。 タイミング攻撃についてとその対策については下記エントリに詳しくまとまっています。 PHP本体でタイミング攻撃を防御できるようになります | yohgaki's blog この脆弱性は 2017/09/21 にリリースされた 5.5.10 で修正されています。対象のクラスは下記になります。 Illuminate\Auth\DatabaseUserProvider Illuminate\Auth\EloquentUserProvider 修正された PR は下記になります。 [5.5] [Security] Close remember_
PHPフレームワークの開発に貢献している日本人はどれくらいいるのか? — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something
上記の5フレームワークの平均は3.8%でした。日本人の人口は世界の2%に満たないですので、それと比較すると多いです。しかし、世界のインターネット人口は2016年で34億9千万人らしいので、それだと人口比でそんなに多くはないですね。 詳細 CakePHP https://github.com/cakephp/cakephp/graphs/contributors chinpei215 waterada nojimage suzuki 8 commits(100位のContributorのコミット数) CodeIgniter https://github.com/bcit-ci/CodeIgniter/graphs/contributors kenjis katsew TakayukiSakai 5 commits FuelPHP https://github.com/fuel/core/gr
HTMLから渡された配列リクエストを各PHPフレームワーク標準でバリデーション処理する - Qiita
はじめに HTMLでinputのname属性をname="hoge[]"のように指定してやるとPHPなどのサーバサイドに配列としてSubmitできることが知られているが,PHPフレームワークを使っているとそのデータをさらにバリデーションにかけることがほとんどかと思う. ドキュメントでもなかなかその手法について解説されていないことが多く,頭を悩ませている人もいるのでは? 一応ほとんどのメジャーな最新PHPフレームワークにおいて上記のバリデーション処理は標準の範囲内で可能なので,その方法についてのまとめ. PHPフレームワークリスト この記事で取り上げているPHPフレームワークリスト.一応日本でそれなりに使われているものを随時追加予定.CakePHPは知らん.その他はコメントなどで要望があれば追加するつもり. FuelPHP 1.7.* Laravel 5.1.* CodeIgniter 3.
Everything we know about Laravel 5.1 – Updated - Laravel News
{ if (! this.initialized) { search.start(); this.initialized = true; } if (value) { setTimeout(() => { this.$el.querySelector('input').focus(); }, 100); } }); }, }" x-dialog x-model="searchModalIsOpen" x-cloak class="fixed inset-0 z-10" @keydown.slash.meta.window="searchModalIsOpen = !searchModalIsOpen" @keydown.k.meta.window="searchModalIsOpen = !searchModalIsOpen" @keydown.escape.window="searchM
Full Disclosure: Laravel - PHP Object Injection - 4.1, 4.2, 5.0, master
Laravel - PHP Object Injection - 4.1, 4.2, 5.0, master From: Scott Arciszewski <scott () paragonie com> Date: Sun, 19 Apr 2015 14:12:23 -0400 Hi FD Readers, If you're using cookie-based session storage with any version of the Laravel Framework since 4.1 (inclusive), and you turned encryption off (I can't imagine why anyone would do that, but I've seen some weird setups), you are vulnerable to PHP
Laravel 4のCSRF脆弱性は何が問題だったのか? — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something
PHPでのある意味「典型的な脆弱性」だったので記事を書くことにしました。 Laravel 4のCSRF脆弱性とは? Laravel 4.2.10以前にCSRF保護が無効になる脆弱性が報告されました。 この脆弱性は、Laravel標準のCSRF保護(csrfフィルタ)を簡単に無効化することができるものです。 既存サイトでは、今すぐ、以下の修正パッチを摘要する必要があります。Laravelのアップデートでは修正されません。 From ba0cf2a1c9280e99d39aad5d4d686d554941eea1 Mon Sep 17 00:00:00 2001 From: Taylor Otwell <taylorotwell@gmail.com> Date: Sun, 9 Nov 2014 16:29:56 -0600 Subject: [PATCH] Check type of toke
CSRF Vulnerability In Laravel 4 | Laravel Development Blog
On November 7th, Chris Smith (@chrismsnz) of Insomnia Security alerted the Laravel development team of a method of bypassing the CSRF verification in Laravel 4 applications. To patch your applications, modify the default CSRF route filter in the app/filters.php file to the following: Route::filter('csrf', function() { if (Session::token() !== Input::get('_token')) { throw new Illuminate\Session\To
Aculios Software Inc — Don't Use Redirect::back() in Laravel 4
We help clients bring digital products and services to market. http://aculios.com/ There is a handy method in the Redirect class that conveniently returns the user back to the previous page they came from. This method is named back() and is called like so: return Redirect::back() Avoid this handy method as it will bring you pain and suffering. It will also cause your teammates to burst out in fits
Yii2.0-beta v.s. Laravel4.1 ベンチマーク - なんたらノート第三期ベータ
PHP5.5.13のビルトインサーバーで、Yii2.0-betaのDBアクセスを含めた実装をベンチマークテストしてみました。あ、ベンチマークは意味が無いとかいうのはナシです。 HelloWorldベンチだと、ルーティングとビューのオーバーヘッドを比較するしかできません。簡単にチートできてしまいます。データベース接続などのライブラリをプリロードしている方が不利になってしまいます。Yii1は公式発表のHelloWorldベンチがずば抜けて速かった(曰く、ほとんどのコードは必要になるまでロードされないことを表しているらしい)のですが、そういう部分だけを際立たせて、だから全体が速い/遅いと考えるのはおかしいです。 そこで、postとcommentテーブルを持つ同じデータベースに接続して、postデータを1件とそれに付随するコメントをすべて取得する(実際にはデータが1件だけある)処理を含みました。
SymfonyとLaravelでは果たしてどちらが軽量高速なのか? — A Day in Serenity (Reloaded) — PHP, CodeIgniter, FuelPHP, Linux or something
Symfony 2.5.0とLaravel 4.2.1をベンチマークしてみました。 ベンチマーク環境 XAMPP 1.8.3-4 for Linux (32bit) PHP 5.5.11 Zend OPcache v7.0.4-dev Apache 2.4.9 ベンチマーク方法 いわゆる「Hello World」ベンチマークです。フレームワークの最小のオーバーヘッドを計測するためのものになります。詳細はソースコード(後述)をご覧ください。 以下のようなコマンドで計測しました。 $ siege -b -c 10 -t 3S http://localhost/symf/hello?name=BEAR ベンチマーク結果 Symfony Laravel
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.reddit.com/r/PHP/comments/131t2k1/laravel_considered_harmful/
作って理解するバックドア
新卒 Laravel 初心者が成長していく中で 感じたコレジャナイ感/PHPerKaigi 2022
CentOS8でPHP、Laravelの開発環境を構築する | みけぽんブログ -自称中級者のエンジニアブログ-
https://laracasts.com/discuss/channels/general-discussion/laravel-roadmap-and-lts-long-term-support-is-there-any
https://laracasts.com/discuss/channels/general-discussion/removing-controller-boilerplate-maintaining-srp
http://www.pedrogilcandeias.com/blog/2013/08/13/symfony-vs-laravel-vs-codeigniter-vs-plainphp/