Definitive PHP security checklist | sk89q
I’ve prepared a pretty comprehensive PHP security checklist that’s a good scan through. Update: This list was written in 2009 and now it is outdated, incomplete, and you can find more modern sources, such as OWASP. If you have any questions, feel free to leave a comment. The following is also now in a very concise printable form. Basic: Have strong passwords be sure that your “password recovery qu
ページの使い方をページ内に埋め込んでしまえる「Amberjack2」:phpspot開発日誌
Amberjack: Amazing On-Page Tutorials ページの使い方をページ内に埋め込んでしまえる「Amberjack2」。 ページの使い方のチュートリアルというと、動画とかで説明されるのが一般的ですが、Amberjackはサイト上にJavaScriptを使って説明を埋め込んでしまえるツールです。 サイトを使いながらそのままチュートリアルに移ることも可能なので、使い方次第ではユーザフレンドリーなサイトに仕上げることが可能かもしれません。 説明方法は、スポットライトを当てたい部分以外をグレーアウトして、ヒントを次のように表示させてあげることが出来ます。 ←、→キーで次の説明に移ることも出来ます。 例えば、タイトル部分にスポットライトをあてて、その説明を表示するという例 説明のポップアップには動画を埋め込んでより分かりやすくするといったことも可能です。 サイトのここは、こう
Google Calendar APIを使ってスケジュール管理のシステム部分をGoogleで。 | mutter
とあるサイトの企画の中で、 毎月の日ごとのイベントをカレンダー方式で表示させるというものがあって、 当然、毎月更新があるのである程度使用に耐えるインターフェイスを 用意しなくちゃならないんだけど、設計はともかく実際に用意するのは結構面倒。 で、どうしたもんかなーと思っていたのだけど、ああ、GoogleCalendarで管理して、 そのデータを引っ張ってきてサイトに載せればいいじゃない、ということに気づいた。 ある程度パブリックな情報だから、直接GoogleCalendarを参照されても困らないし、 ユーザを増やせば複数で管理することも出来るし。 ライブラリを探せばなにがしかあるだろうけど、 ただ引っ張ってきたいだけでPOSTしたりしないので、自分で書いてみた。 使用言語は例によってPHPです。 GoogleCalendarの使い方については省略。 登録するデータは、「毎月第2金曜」という感
PHPをC++に変換して高速化する「HipHop for PHP」:phpspot開発日誌
PHPをC++に変換して高速化する「HipHop for PHP」をFacebookが公開 : candycane development blog すでにご覧になったかもしれませんが、HipHop for PHP というものがfacebookからGitHubにてオープンソースで出るようです。 PHPのコードをC++のコードに変換できるということで、これまでも同様のものがありましたが、facebookで作成され、月間4000憶というPVの90%以上に耐えうる形で実運用に使われているところが期待せずにはいられないところですね。 これが実際に物凄く使えて安定し広く使われるようになれば、PHPというツールの価値がますます上がりそうです。 開発中はPHPで素早く開発し、本番ではC++のコードが使えるというのはかなり凄いことです。 当たり前ですが、50%のCPU利用率が低下したということなので、単純
さくらのDBを更新、LMSを入れてSCORMコンテンツを動かしてみた。 - quwajiの日記
いつのまにか、さくらのDBはMySQL5も使えるようになっていた。切り替えはそんなに親切ではなく、すでに4で使っていたら削除して再作成だった。MT,XOOPS,Dokeos,Typo3などなど、いろいろ入れてみては放置でずいぶんゴミ置き場になっていたので、思い切ってDB削除しインストールしていたアプリも削除。 moodleは http://moodle.org/mod/forum/discuss.php?d=130059 で喜多先生が手順を投稿していたのでサクッと。あっさり動いて拍子抜けするくらい。 ついでに少し気になっていたNetCommonsも入れてみた。 http://www.netcommons.org パブリック・プライベート・グループというスコープでいろいろな使い方ができそうな点が他のLMS・CMSとの違いだろうか。 こちらは素の状態だとどこから手をつけていいのやら困りそうな感
絵文字変換ライブラリ HTML_Emoji - Revulo's Laboratory
概要 † HTML_Emoji は携帯の絵文字を変換するライブラリです。 PHP 4 以上で動作します。 docomo, au, SoftBank の絵文字に対応 (隠し絵文字を含む) 他キャリアの絵文字を、類似の絵文字に変換可能 PCでは gif 形式の画像に変換して表示 絵文字の入出力は、UTF-8, Shift_JIS のバイナリ形式 文字エンコーディングを UTF-8 と Shift_JIS 間で相互に変換可能 User Agent からキャリアを自動判別 (キャリアを指定することも可能) フォームに入力された絵文字を処理したり、 携帯宛の絵文字メールを作成したりするのに使えるはずです。 ▲ サンプル † 動作確認のためのサンプルをいくつか用意しました。 PC や携帯から読み書きしてみて下さい。 UTF-8 での表示 Shift_JIS での表示 絵文字掲示板 PC での動作確認に
携帯サイトのDOCTYPE宣言、切り替え(PHPをSSIにて利用)|携帯|Kamitani79-メロンとバナナとブログ
Kamitani79の日々のブログ。撮影した写真や音楽・映画のレビュー・Movable Typeの活用方法など。メロンとバナナのように!! 携帯サイトのDOCTYPE宣言についてで各キャリアごとにDOCTYPE宣言が異なるという記事を書きました。 ひとつのhtmlで携帯サイトを作り、 各キャリアからアクセスがあった場合、DOCTYPE宣言を切り替えるにはどうしたら良いか。 切り替えのPHPを紹介しますので、SSIは必須ですが利用してみてください。 XHTMLベースの紹介になります。(厳密に切り替える必要はないかもしれませんが。。。) SSIをHTMLで読み出す場合、.htaccess等に 以下を追加し、PHPと同じディレクトリに置きます。 AddHandler server-parsed html AddType application/xhtml+xml .html AddType ap
PHP以外では: 既にあたり前になりつつある文字エンコーディングバリデーション - 徳丸浩の日記(2009-09-14)
_既にあたり前になりつつある文字エンコーディングバリデーション 大垣靖男さんの日記「何故かあたり前にならない文字エンコーディングバリデーション」に端を発して、入力データなどの文字エンコーディングの妥当性チェックをどう行うかが議論になっています。チェック自体が必要であることは皆さん同意のようですが、 チェック担当はアプリケーションか、基盤ソフト(言語、フレームワークなど)か 入力・処理・出力のどこでチェックするのか という点で、さまざまな意見が寄せられています。大垣さん自身は、アプリケーションが入力時点でチェックすべきと主張されています。これに対して、いや基盤ソフトでチェックすべきだとか、文字列を「使うとき」にチェックすべきだという意見が出ています。 たとえば、id:ikepyonの日記「[セキュリティ]何故かあたり前にならない文字エンコーディングバリデーション」では、このチェックは基盤ソフ
携帯電話の個体識別番号をセッションIDとして使う方法 - ikepyonのだめ人間日記
ワッサーでつぶやいていて、PHPで個体識別番号をセッションIDとして使う方法を教えてもらった。http://wassr.jp/user/nihen/statuses/skctoRFZ3G 目からうろこが落ちた。 <?php session_id(get_mobile_id()); session_start(); if (!isset($_SESSION['count'])) { $_SESSION['count'] = 0; } else { $_SESSION['count']++; } echo $_SESSION['count']; ?>http://pastebin.com/m74eb934f ここで、get_mobile_id()で個体識別番号を取得するらしい。 で、それをセッションIDとして、session_idで認識させる。すると、CookieやHiddenを使えなくてもO
携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem's blog
最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムのCD-ROM上で session を検索しても出てこないので、セッションはどこでも使っていないのだろう。 そうは言っても、本書にはブログやSNSなど認証が必要なアプリケーションも登場する。本書で採用している認証方式はこうだ。 携帯電話の個体識別番号を用いた、いわゆる「かんたんログイン」のみを使う 認証状態をセッション管理機構で維持しない。全てのページで毎回認証する そのため、「iモードID」など、ユーザに確認せずに自動的に送信されるIDを用いる つまり、全て
PHPによる誰でも出来る簡単Twitterbotの作り方 - 遥か彼方の彼方から
プログラムcronよくわからないしAPIとかもまだ触りたくない、でも簡単なものでもいいからtwitterbotが作りたい! なんて人がいるんじゃないかと思います。僕がそうです。そこで、一時間に一度の発言でいいPHPのごくごく基本的な知識がある@返しとかしないという条件で簡単なbotを作ってみました。作り方PHPでtwitterの投稿をするにはPHPでTwitterに投稿 - HIRACCHI H.D.を参考にするのが一番簡単です。 messageというところを$mesとでもしておいて、usernameとpasswordを入力した後の場所で、投稿したいメッセージをプログラムで作成、それを$mesに代入とするのがいいです。実際に投稿するメッセージは、お好きなモノを。どこかのサイトの定期的に変化するデータをもってきてもいいですし、事前にいくつか表示したいものを用意して乱数で振り分けたりしてもいい
PHPでTwitterに投稿 - ひらっち's diary
投稿するメッセージは rawurlencode() でエンコードする。メッセージにスペース(空白)があると、そこで切れてしまうから。 PHP5以上 <?php $url = "http://twitter.com/statuses/update.xml?"; $username = your username; $password = your password; $params = "status=". rawurlencode(message); $result = file_get_contents($url.$params , false, stream_context_create(array( "http" => array( "method" => "POST", "header" => "Authorization: Basic ". base64_encode($user
クラスの基礎 | PHP Labo
クラスとは PHPではオブジェクト指向と呼ばれるプログラミング手法を利用することができます。オブジェクト指向を導入すると、プログラムの再利用性・保守性が向上し、効率よくプログラミングを行うことができます。 オブジェクトはクラスを雛形として作成します。クラスは変数と関数を持つことができ、データをまとめて管理することができます。別々に変数や関数を定義するよりも保守性を向上させることができます。 「クラスからオブジェクトを作成する」作業は、よく「設計図から部品を作成する」作業に例えられます。 ただ、はじめのうちはオブジェクト指向のメリットは解りにくいかもしれません。その場合は無理にオブジェクト指向を導入する必要は無いと思います。ですが、オブジェクト指向の考え方を基に設計されたライブラリは多く存在するので、それらを使用するために最低限の知識は持っておいた方がいいでしょう。 クラスの作成方法 クラス
jQueryクライアントとPHPサーバ間をJSONで結ぶには
jQueryクライアントとPHPサーバ間をJSONで結ぶには:jQueryで学ぶ簡単で効果的なAjaxの使い方(3)(1/3 ページ) いま話題の「jQuery」を使って、目的を持ったAjax開発の効率化や使いどころ・注意点などについてサンプルを見ながら解説していきます。Webデザイナ/プロデューサーも必見! jQueryで、オペレータにクリエイティブな時間を 今回は、前回の「目的を持ってAjaxを使うためにjQueryの文法を知ろう」で使ったテキスト入力を効率化させるプラグイン「jQuery Autocomplete Mod(オートコンプリートプラグイン)」を、自分の手でさらに使いやすくする方法を学んでいきます。ユーザビリティを高めて業務効率化をアップするサンプルを通じて、JavaScript/AjaxによるJSON形式のデータのやり取りの仕方を学びましょう。 検索サイトの検索キーワード
データベースを用いたセッションデータ管理について - LukeSilvia’s diary
Web アプリケーションとは切っても切れないセッション機構。DB ベースでセッション管理を行なって得られた知見と、それを元に考察した結果をまとめてみます。 セッションデータの特性 DB で管理される他のデータに比べ、セッションデータはかなり特殊です。主な特徴は次のような感じ。 データが増加するのが速い 定期的な削除が必要 頻繁に更新される リクエスト毎に読みに行く必要がある このデータを読めないとアプリケーション全体にアクセスできない アクセス頻度が高いということです。あと、1つ目の特徴からセッションデータについては意識的に管理してやる必要があります。 現在の環境 アプリケーションの領域が少し特殊で、セッションデータがやたらたまります(ユーザ数何百万のサービスとかそういうのではないです)。 RDBMS MySQL 4.0.22 ストレージエンジン InnoDB レコード数 6千万 テータサ
さぼてん: 【PHP】ImageMagickとImagick - XREAサーバ
CGIモジュール版PHPにする。 /* .htaccess */ <files imagick.php> AddHandler application/x-httpd-phpcgi .php </files> PHPからは次の様にコマンドで実行。 以下の例は画像サイズ変換。縦横の比率は保持される模様。 /* imagick.php */ exec('convert -geometry 30x30 photo01.jpg thumb.jpg'); ImageMagickを使いやすくするPHPライブラリPECL::Imagick。 インストール SSHでPEARをインストール。 $ pear config-create /virtual/username/public_html .pearrc $ pear install -o PEAR PECLからImagickをダウンロードしてmak
PHP: GD および Image 関数 - Manual
Getting Started Introduction A simple tutorial Language Reference Basic syntax Types Variables Constants Expressions Operators Control Structures Functions Classes and Objects Namespaces Enumerations Errors Exceptions Fibers Generators Attributes References Explained Predefined Variables Predefined Exceptions Predefined Interfaces and Classes Predefined Attributes Context options and parameters Su
[3538] セッションの有効期間の制御 - Thread - PHPの基礎体力掲示板
created: 2007-01-21 00:50 | modified: 2007-04-04 01:37 | reply: 19 [3536] セッション クッキーの保存期間 - 江戸川アダモ - 2007-01-21 00:50 [3538] セッションの有効期間の制御 - ゆうじ - 2007-01-23 00:00 [3539] セッションの有効期限 - 江戸川アダモ - 2007-01-23 21:56 [3541] Re.セッションの有効期限 - ゆうじ - 2007-01-24 23:52 [3546] gcの不確定性 - 江戸川アダモ - 2007-01-26 06:21 [3642] 実行ファイルの書き方 - 江戸川アダモ - 2007-03-11 08:30 [3643] Re. 実行ファイルの書き方 - ゆうじ - 2007-03-11 16:35 [3644] R
Amazon Product Advertising API への対応(PHP版) - もやし日記
Amazon のアフィリエイト用 API の名前がまた変わりました(今回で3回目?)。名前が変わるだけならそれほどの問題ではないのですが、過去の API を利用している全サイトに影響があるので注意が必要です。重要な変更内容: 2009年8月15日以降、全てのリクエストに対して Secret Access Key を使った署名認証が必要になる そのため、これまでの Amazon Associates Web Service 4.0(旧 Amazon ECS 4.0)リクエストは全て無効になる 参考:http://developer.amazonwebservices.com/connect/ann.jspa?annID=442 Secret Access Key の取得今までの Amazon Associates Web Service 4.0 は Access Key ID のみで利用でき
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
モジュール版PHPにおけるセッションに関して [Archive] - XREA&CORE SUPPORT BOARD