htmlspecialchars()/htmlentities()について - 2009-10-19 - T.Teradaの日記
id:t_komuraさんの、最新の PHP スナップショットでの htmlspecialchars()/htmlentities() の修正内容についてを読みました。 見ていて気になったことが1つあります。 2. EUC-JP …(省略)… (2) \x80 - \x8d, \x90 - \xa0, \xff については、そのまま出力される <?php var_dump( bin2hex( htmlspecialchars( "\x80", ENT_QUOTES, "EUC-JP" ) ) ); var_dump( bin2hex( htmlspecialchars( "\x8d", ENT_QUOTES, "EUC-JP" ) ) ); var_dump( bin2hex( htmlspecialchars( "\x90", ENT_QUOTES, "EUC-JP" ) ) ); va
[mixi] ネットワーク&セキュリティ | はてなでやってるXSS対策と同様のXSS対策をしたい
こんにちは。 VPSのレンタルサーバで、RHEL、PHP5、Apache2でサイトをこれからつくる予定です。 まずはセキュリティ的な部分を、片付けようと思い、 そこで、まずは、XSS対策をしようと思いました。 で、PHP と Web アプリケーションのセキュリティについてのメモ http://www.asahi-net.or.jp/~wv7y-kmr/memo/php_security.html を見まして<ユーザが HTML タグやスタイルシートを記述できるようにしたい場合のクロスサイトスクリプティング対策としては、「はてなダイアリーXSS対策が」参考になります> とあったので、 「はてなダイアリーXSS対策」 http://hatenadiary.g.hatena.ne.jp/keyword/%E3%81%AF%E3%81%A6%E3%81%AA%E3%83%80%E3%82%A4%E
Michael J. Radwin talks
2006 Hacking Apache HTTP Server at Yahoo!, Thursday, July 27, 2006 (OSCON 2006) Slides in HTML | PDF | PPT Since 1996, Yahoo has been running Apache HTTP Server on thousands of servers and serving billions of requests a day. This session reveals the secrets of how Yahoo gets maximum performance out of minimal hardware by tweaking configuration directives and hacking the source code. Radwin will
htmlspecialcharsに関する素敵なお知らせ - 岩本隆史の日記帳(アーカイブ)
外出のため確認が遅くなってしまったのですが、「htmlspecialcharsに関する残念なお知らせ」という記事で触れたバグレポートが、reopenされ、fixされました。 「改善される見込みは薄い」という私の予測は外れたわけで、申し訳ないと思うと同時に、htmlspecialcharsの挙動が改善され、嬉しく思っています。ご尽力いただいた皆様、ありがとうございました。 PHPのバグレポートを初めて書く方へ PHPのバグレポートには、再現コードや期待される結果、実際の結果を書く欄があります。私のレポートでも埋めました。 PHPのコミッタはそれらを読み、バグだと思えばコードを修正するでしょう。また、仕様だと思えば却下するでしょう。私のレポートでいえば、janiさんは仕様と判断され、moriyoshiさんはバグと判断されたわけです。「それでいいのか」という気もしますが、そうなのだから仕方がない
Wozozoまつり in openpearの舞台裏 - Blog::koyhoge::Tech
今openpearの中で密かに起きている祭り | この先生きのこるには openpearでひっそり盛り上がっていたWozozoまつりがついに白日の下にさらされました。 ということで、なぜこんなことになってしまったのか、#openpear@freenode の当日のログをさらしとこうと思います。 そこそこ長いので、「続きを読む」で。 まずは発端となった 9/30 のログ。 最初はopenpearの登録パッケージ数が100行ったかどうかという話でした。 ha1t_ もしかして ha1t_ openpear.orgのパッケージ数100行った? ha1t_ 丁度100のような ha1t_ http://openpear.org/package から手で数えてるから違うかもしれんけど。 koyhoge pear list-all -c openpear | grep openpear | wc だと
htmlspecialchars: 問題を解決するにはどうすればよいか案 - ものがたり(旧)
http://d.hatena.ne.jp/IwamotoTakashi/20091006/p1 http://www.tokumaru.org/d/20090930.html#p01 先にはてブでコメントしてから2つ目以降を読んだっていうのはまあ秘密だとして。わたしは日本の人がどんだけPHPに関わっているか把握していませんが、見ていてこんなことを思いました: この問題は多分今のアプローチだと解決しないでしょう。というのは、今回岩本さんが書いたパッチは「仕様変更」を要求するものなので、bugtrackerで議論するだけでは結論が出せない/出しにくいもので、メーリングリストなどでちゃんと多くの人が見ているところで議論すべき内容なのです。開発者はほぼ例外なく開発MLを見ているでしょうが、バグレポートMLは(もしあれば)大量に流れてくるので、自分がメンテナンスしていない無関係なものは見ないという
外国語ならなおさら、できる限りのことをしないと伝わらない – 秋元
PHPの文字エンコーディングの入力チェックを改善する方法について日本語のブログで議論があり、そのパッチを本家に提案したが、却下された、という話が盛り上がっているようです。 バグレポートされた岩本さん自身や、コメント欄やはてなブックマークでは、 PHPの開発陣がダメだ マルチバイトに理解がない外国人がダメだ 残念だ みたいな意見があまりに大勢をしめているので、そのバグレポートを見てみた上で、思ったことを述べたいと思います。 岩本さんのバグレポートを訳すと、こんな感じです 要約: ------------ セキュリティ的な要件により、htmlspecialchars()はバイト列をもっと 厳密にチェックすべきです。XSSするコードが見つかりました。 http://d.hatena.ne.jp/t_komura/20091004/1254665511 [日] 原始的なパッチを書きました。 htt
この先生きのこるには
追記:koyhogeさんがわかりやすくまとめてくれました。Wozozoまつり in openpearの舞台裏 – Blog::koyhoge openpear.orgには、100を越えるプロジェクトがある。その中には、システムのデバッグ目的で用意され、パッケージ一覧からは表示されないWozozo_Unkoというパッケージがある事が最近になって判明。 「パッケージ名がWozozo_ではじまるとパッケージ一覧に表示されなくなる」という例外扱いを、自分達のパッケージでも受けてみたいという好奇心と、Wozozo_Unkoという珍妙なパッケージ名に連られて、「PHPにおけるWozozoはPerlにおけるAcmeのような物」という発想が生まれ、これを現実にすべく、全く実用的ではないクソパッケージや、細かい単発機能を持ったWozozoプロジェクトが大量発生した。以下は2009年10月4日時点のWozoz
ハタさんのブログ(復刻版) : PHPカンファレンス2009「Q4MとFlareを使って スケーラブルなサービスを作る!」の資料
すいません、遅くなっていましたが、とりあえずここに置いておきます。 ref - http://www.slideshare.net/nowelium/building-highscalable-web-applications-using-q4m-and-flare Building High-Scalable Web Applications Using Q4M and Flare View more documents from nowelium. Ustreamはこの辺 ref - http://www.ustream.tv/recorded/2107541 いくつか質問があったものは、別途書きます
PHP以外では: 既にあたり前になりつつある文字エンコーディングバリデーション - 徳丸浩の日記(2009-09-14)
_既にあたり前になりつつある文字エンコーディングバリデーション 大垣靖男さんの日記「何故かあたり前にならない文字エンコーディングバリデーション」に端を発して、入力データなどの文字エンコーディングの妥当性チェックをどう行うかが議論になっています。チェック自体が必要であることは皆さん同意のようですが、 チェック担当はアプリケーションか、基盤ソフト(言語、フレームワークなど)か 入力・処理・出力のどこでチェックするのか という点で、さまざまな意見が寄せられています。大垣さん自身は、アプリケーションが入力時点でチェックすべきと主張されています。これに対して、いや基盤ソフトでチェックすべきだとか、文字列を「使うとき」にチェックすべきだという意見が出ています。 たとえば、id:ikepyonの日記「[セキュリティ]何故かあたり前にならない文字エンコーディングバリデーション」では、このチェックは基盤ソフ
講演者レポート「現役高校生のPHP開発」@PHPカンファレンス2009 テックデイ - 菅礼紗の世界征服
日記, PHP, phpcon, pcj09会場入り朝6時半には会場到着!早い!もちろんあいてませんでした。スタッフさんたちがんばってます。そしてここでスライドの作ってない部分を急いで作り始める。本番。写真: http://gihyo.jp/news/report/01/phpcon2009/0002?page=2##hc6a1c25(PHPカンファレンス2009 スペシャルレポート 2日目 テックデイ)感想いや非常に緊張しました!妹認証を知っている人が意外とそれなりに居て、うれしかったです!来年はもっと技術的な内容に迫りたいです。発表の録画映像はこちらustream:http://www.ustream.tv/recorded/2107424([T-205B]現役高校生のPHP開発)懇親会LT「プレゼンはブルースクリーンでシメる」とりあえずおもしろかた。
HASHコンサルティング徳丸浩の日記 - 9月4日 PHPカンファレンス2009 ビジネスデイで発表しました - 発注者のためのセキュリティ
■発注者のためのセキュリティ こちらの日記はずいぶん後沙汰しておりますが、標記のように、PHPカンファレンス2009 ビジネスデイにて発表する機会をいただきました。関係者のみなさまありがとうございました。 主催者からのリクエストが、「発注側として気をつけるべきセキュリティ」ということでしたので、今さらXSSやSQLインジェクションの話をしてもしょうがないと思い、発注者視点での話をこの機会にまとめてみようと思いました。そのため、タイトルは「45分で分かる、安全なWebアプリケーション開発のための、発注・要件・検収」といたしました。 発表の中でも述べましたが、発注者がセキュリティに関与できる場面は、発注と検収の場面しかなく、検収は発注仕様に沿っているかどうかを確認するものですので、発注と要件(発注仕様)が極めて重要ということになります。しかし、従来、このセキュリティ要件をどのように書けばよい
PHP カンファレンス 2009・ビジネスデイ 私的不完全議事録 【pcj09】 - 酒と蕎麦と IT と
9/4 にオラクル青山センターで開かれた「PHP カンファレンス 2009 (ビジネスデイ)」の私的不完全議事録です。「私的不完全議事録」シリーズのお約束で、言い回しは完全に再現していません。また、拾えなかった発言は断りなく省いています。参考程度に活用してください。 明らかな誤り、誤字脱字、漢字の変換ミスなどを発見された方は、コメント欄かブックマークコメントで指摘してください。 目次 NetCommons でオープンソース・ビジネスモデルの実現 (永原 篤氏) 世界標準パブリッシングプラットホーム WordPress (マクラケン 直子氏) eZ Publish ディスクール──エンタープライズ WebCMS に求められる機能とその実現 (藤田 拓氏) Oracle で加速させよう! PHP のビジネス活用 〜スケーラブルで高可用性でクラウドで〜 (伊東 裕揮氏) ソーシャルメディア GR
直前レポート | gihyo.jp
10回目のPHPカンファレンス 今年で10回目を迎えるPHPカンファレンス。今回は「新しいPHPカンファレンス」をテーマとして、9月4日(金)と9月5日(土)の2日間、過去最大のスケールで開催されます。 1日目と2日目で会場が異なります。ご来場の際は、お間違えのないようご注意ください。 9/4(金)日本オラクル株式会社 オラクル青山センター 9/5(土)大田区産業プラザPiO また、PHPカンファレンスに参加するためには事前登録が必要となります。残念ながら現在は既に参加登録が締め切られていますが、当日はUstreamでのリアルタイム中継(URLなどは記事の最後にまとめて紹介します)とあわせて、gihyo.jpでも随時レポートを更新していきます。参加できない方もぜひPHPカンファレンス情報をチェックしてくださいね。 初回は事前レポートということで、イベントの見どころなどを紹介していきます。
外注から内製へ。Perl/PHPエンジニアの需要高まる
平成の大不況の下、IT業界の転職市場は冷え込んでいる。だが、すべての企業が採用をやめたわけではなく、いつまでも採用が止まり続けるわけでもない。転職市場の動向を追い、来るべきときに備えよう。 昨年から続く景気の低迷は下げ止まりの様相を呈しながらも、いまだ回復には至っていない。しかし、7月に入ると、企業の採用活動がにわかに活気を帯びてきた。これまで採用活動を凍結していた企業の活動再開が見られ、大手SIer(システムインテグレータ)だけでなく、中小規模のSIerでも新規求人のニーズが発生した。とはいえ、依然として選考ハードルは高く、転職活動の長期化に苦しむ求職者が後を絶たない。 これまでに核となるスキルを磨き、順調にキャリアを積んできた人にとって、現在の転職市場は悲観するほど厳しいものではない。業界・業種による採用意欲の違いはあるものの、いかに自身のキャリア形成を考え、スキルを身に付けてきたかが
PHPの閉じタグは心の臓に悪いから使わないで - Unknown::Programming
閉じタグってのは「?>」のことね。未だに閉じタグ使ってるコードを見ると一瞬ドキッとするんだよね。(自分の昔のコードも含むw) いや、ちゃんとわかってて確実に使いこなしてるならいいんだけどたまに -- ここがファイルの先頭 -- <?php class Foo { // いろいろ } ?> -- ここがファイルの後尾 -- みたいな感じで閉じタグの後に改行コードが一つ入ってたりするのを見ると「あわわわ」ってなっちゃう。 実際には改行一つだけなら問題は出ない、PHPは閉じタグの直後の改行を消してくれるからね。 問題は改行が二つ以上あった場合だ。これは悲惨なことになる。PHPは閉じタグ以降のデータ(というか範囲外のデータ)は全部HTMLとして出力される仕様なので、改行コードが表示されちゃう事態に。 表示されちゃうっていうのは語弊があるか、元々PHPはHTMLに埋め込むための言語なのでの範囲外の文
この先生きのこるには
タイトルままです。 8月15日 土曜日 東地区 P53aで、豆本売ってます。 前回よりもさらに読ませる気のない自己満足モノですが、1つ1つ手づくりでやってますので、内容には触れずに「へー、こんなもんあるんだねえ」と思って手にとっていただければと思います。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Phython がようやくまともに動くようになってきたので告知 - moriyoshiの日記
PHP カンファレンス 2009 で喋ることになっているようです - moriyoshiの日記
PHP カンファレンス 2009 | 2009年9月4日・5日開催 日本PHPユーザ会主催