SQLインジェクション,XSS対策 - rytich's diary
SQLインジェクション 今夜分かるSQLインジェクション対策:Security&Trust ウォッチ(42) - @IT クロスサイトスクリプティング(XSS) 第1回 悪意のJavaScriptで情報が漏えい | 日経 xTECH(クロステック) クライアント(ユーザー)からのリクエストは信頼しない 悪意のあるコードが含まれている前提でコーディングする 規則性のあるコーディングで処理の漏れ・バグをふせぐ 統一させることでコードの可読性もあがる リクエストデータのバリデーション(正当性検証) クライアント側(JavaScript)での正当性チェックは効果がない (ユーザビリティのみ) selectボックスなどからのリクエストも検証する (引数にはどんなデータでも含ませることができる) メールアドレスや文字数制限などの検証も行うことでDBに行く前にチェック (負荷対策にも) 対策:クライアン
javascriptでphpのhtmlspecialchars()に相当する処理を実行する方法を教えて下さい。
javascriptでphpのhtmlspecialchars()に相当する処理を実行する方法を教えて下さい。
@IT:クロスサイトスクリプティング対策の基本
最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング」と呼ばれる脆弱性が有名であるが、クロスサイトスクリプティング脆弱性について正確に理解している人が依然として少ないと感じる。 本稿では、クロスサイトスクリプティングとはどのような脆弱性であるのか、この脆弱性を持ったサイトが攻撃されるとどのような被害が起き得るのか、なぜそのようなセキュリティホールが作り込まれてしまうのか、どのように対策をすればよいのかを解説していく。 ※以下本文中では、クロスサイトスクリプティング脆弱性のことを「XSS」と表記する。「Cross Site Scripting」の略であるから「CSS」と表記している記事もあるが、「Cascading Style Sheets」の略も「CSS」となり紛らわしいため、「XSS」と表記する場合が多くなってきている。本稿で
クロスサイトスクリプティング - Wikipedia
クロスサイトスクリプティング(英: cross-site scripting)とは、Webアプリケーションの脆弱性[1]もしくはそれを利用した攻撃。脆弱性をツリー型に分類するCWEではこの攻撃を不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類している (CWE-79)[2]。略称はXSS。かつてはCSSという略称も使われていたが、Cascading Style Sheetsと紛らわしいのでこの略称はあまり使われなくなった[1]。 「クロスサイト(サイト横断)」という名称は歴史的なもので、初期に発見されたXSSでは脆弱性のあるサイトと攻撃者のサイトを「サイト横断的」に利用して攻撃を実行することから名づけられたものだが[3][4]、XSSの定義は新しいタイプの攻撃が見つかるたびに拡張され、サイト横断的なものでなくともXSSと呼ぶようになった[3]
wget tips
[home] [back] wget の使い方 自分がたまに使うけど、よく忘れる機能について。 全然使ったことない人はinfo見てください。 (ここに書いてある内容も、多くは 'Guru Usage' あたりに載ってます) wget 1.9.1 released [2004/04/05追記] 久々の更新ですが、 気づいたら2003年9月頃にwget 1.9.1が出てました。 POSTオプション追加(--post-data) -wなどに小数が使えるようになった POSTが出来るようになって、ついにcurlに追い付いたみたいです。 wgetの方がcookieを扱うのが少し面倒だけど、 やりたいことは全部できるんじゃないでしょうか。 wget 1.8.1 released [2001/12/28追記] 気づいたらwget 1.8.1が出てます。 こんな枯れたソフトをよくhackする気になるもんだ
htmlspecialchars/htmlentitiesの正しい使い方
(Last Updated On: 2018年8月16日)追記:このエントリは古い情報です。今のHTMLエスケープの情報は以下の新しいエントリを参照してください。 PHPのHTMLエスケープ PHP_SELFはそのまま出力できないに htmspecialchars($str, ENT_QUOTES); じゃなくて、 htmspecialchars($str); で終わらせてしまった場合の、 問題例が非常に欲しいです!! とコメントを頂きました。 htmlspecialcharsとhtmlenties関数はENT_QUOTESを指定しないとENT_COMPAT(セキュリティ上問題があるが互換性を維持)が指定された状態と同じ動作をします。 ENT_QUOTESは”と’の両方をHTMLエンティティに変換するオプションです。ENT_COMPATは”のみHTMLエンティティに変換します。 JavaS
62. PHPの設定ファイルを分離する
PHP言語の特徴の一つに、php.iniによる言語設定があります。デフォルトの設定のまま運用している人も多いかもしれませんが、サーバーごと、バーチャルホストごと、ディレクトリごとなどで、設定項目を変更したい事が多くあると思います。このTipsでは、これらの設定を別々のファイルに分割し、メンテナンス性を向上させる方法を紹介します。 2006年9月1日号のTipsメーリングリストにて、php.ini以外でも設定できる事を紹介しました。 この方法を使うと、ディレクトリごと、バーチャルホストごとに、設定を行うことができます。 実はもう1つ、php.iniと同列であるPHP_INI_SYSTEMレベル設定を、別のファイルに分離する方法があります。 PHPのconfigureオプションに、--with-config-file-pathと共に、--with-config-file-scan-dirという
会社は伸び,人が増え,そして問題が起こる
グループウエア「サイボウズ Office」のバージョン2,バージョン3,バージョン4とリリースするごとに,サイボウズの業績は伸びていきました。スタートしたときは3人だった社員数も,10人,20人と増えていきました。事務所には,毎日ご注文のメールやFAXが届いていました。上場の話もちらほら出始めました。 このように書きますと,さぞかし社内は明るい雰囲気だったと思われるかも知れません。しかしながら,実態は逆でした。殺伐とした雰囲気の中で業務は進んでいました。なぜでしょうか? ソフトを買っていただくお客様が増えると,それに比例するように問い合わせの数が増えます。新バージョンがリリースされたときは,数カ月で2倍以上になることもありました。すると,サポート部のメンバーも2倍以上に増やさなければ,お返事を返しきれないのです。 もちろん人材採用は積極的に進めていました。しかし,採用した後には教育が必要で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サービス終了のお知らせ