PHPのdisplay_errorsが有効だとカジュアルにXSS脆弱性が入り込む
先に、「CVE-2008-5814を巡る冒険」にて、CVE-2008-5814脆弱性があるとdisplay_errorsがOnの環境下でXSS脆弱性となる場合があることを説明しました。しかし、display_errorsがOnの環境下ではCVE-2008-5814脆弱性がなくても、XSS脆弱性となる場合がしばしばあります。 これは、display_errorsによるエラーメッセージ表示がHTMLエスケープされていないことが原因です。簡単なサンプルを以下に示します。 <?php ini_set('display_errors', 1); // display_errorsを有効にする $a = array(); // 配列の生成 $index = $_GET['x']; // 配列のインデックスを得る $b = $a[$index]; // 配列の要素にアクセス このスクリプトに、x=<sc
PHP 5.4 - 'closure $this support'
I see that the new planned features for PHP 5.4 are: traits, array dereferencing, a JsonSerializable interface and something referred to as 'closure $this support' http://en.wikipedia.org/wiki/Php#Release_history While the others are either immediately clear (JsonSerialiable, array dereferencing) or i looked up the specifics (traits), I am not sure what 'closure $this support' is. I have been unsu
順応するな。意図を持て - ゆーすけべー日記
最近親父と話した事をまとめる。よって、これは時期的に捉われがちな、新入生、新社会人に向けたアドバイスというわけではない。ただの仮説である。まぁもし役に立てば幸い。 話は簡単なことだ。「希望する環境を手にしたければ、環境に順応せずに、向かいたい方向への意図を持ち続けるとなんとかなるかもしれない」と言うこと。ここで言う環境と言うのは仕事をする組織だったり人付き合いだったり、ワークスタイルなども含まれるし、仕事以外のことにも当てはまる。うん、簡単で当然のようなことだ。 そもそも僕の場合は大きな会社組織に属したことが無いのでこれもまた仮説なレベルなわけだが、例えば会社という枠組にフィット出来ないことで自分を責めたり、そこで起きていることが全てだと思い込むと危うい。個人的な話をすると、6年前に父親と会社を立ち上げた時にはそれがベストな環境ではないと考えていて「親子二人で起業なんていいですね」と言われ
NEON sandbox
This is neon file - try to edit it! name: Homer # this is a comment address: street: 742 Evergreen Terrace city: Springfield country: USA phones: { home: 555-6528, work: 555-7334 } children: - Bart - Lisa - Maggie entity: Column(type=int, nulls=yes) string: 'quotes string' multi line string: ''' one line second line third line ''' special types: escape sequences: "\u2026 \t \n \r \f \b" bool: [tru
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JavaScriptでGitを実装するKickstarterプロジェクト、28時間で資金調達
