HTTP Basic and Digest authentication with PHP - 't Bijstere spoor
HTTP authentication is quite popular for web applications. It is pretty easy to implement and works for a range of http applications; not to mention your browser. Basic Auth The two main authentication schemes are 'basic' and 'digest'. Basic is pretty easy to implement and appears to be the most common: <?php $username = null; $password = null; // mod_php if (isset($_SERVER['PHP_AUTH_USER'])) { $u
PHP4.4.9のセキュリティ状態
(Last Updated On: 2018年8月13日)PHP4のサポートは2008/8/8を持って終了しました。サポート終了に合わせて、最後のPHP4リリースとなる4.4.9がリリースされています。サポートが終了していますが、稼動中のPHPの半分はまだPHP4であるとる統計情報もあり、まだまだ現役です。 PHPプロジェクトのサポート終了したため、PHP 4.4.9のセキュリティ脆弱性はCVEなどでも報告されなくなりました。この為、普通にセキュリティ情報を収集していてもPHP4.4.9に対する脆弱性情報は入手できません。 PHP4セキュリティ保守サービスではPHP 4にも対応しています。サポートしている脆弱性の概要は、弊社のお知らせをご覧下さい。 まだまだ、SQLインジェクションが無くなっていない事は非常に残念です。PHP4で作られたWebアプリケーションはSJISやEUCを文字エンコー
Zend_Form で設定ファイルからフォームを作る | ブログが続かないわけ
フォームを作るときに意外と面倒なのが、入力チェックにひっかかったときの挙動。 美しくないパターンとしては、エラー画面を表示させて、ユーザーに「戻る」を強いるもの。この方法であれば、もとの画面に戻ったとき、おそらくユーザーが入力していた情報は残っているだろう。キャッシュコントロールの問題等もあるけど、今回の主旨とはずれるのでその件は割愛。 一般的なパターンは、エラーになったときは画面を遷移させず、もう一度入力画面を表示して、そこにエラーメッセージを表示するというものだろう。 ここで、面倒なのがユーザーが先ほど入力していたものを予め入れておくという(以下、プレフィル)処理だ。 Zend_Form を使えばこういうわずらわしいところ(プレフィルとかエラーメッセージの表示とか)を全て解決してくれるので、とても頼もしい。Zend_Form そのものの解説は他にまわすとして、設定ファイルから一気にフォ
PHP開発者とユーザが知っておくべきシェルコマンドエスケープの内部処理
(Last Updated On: 2018年8月13日)これから紹介する脆弱性はPHP 5.2.6で修正されています。修正された、とは言え注意が必要です。 PHPは古くからシェルコマンドとシェル引数をエスケープ処理する為に、escapeshellcmd関数とescapeshellarg関数を提供しています。 この関数はマルチバイト文字にも対応しているのですが、ビルドや環境によっては対応できていないときがあります。 escapeshellcmd/escapeshellarg関数ではC99で定義されてるmblen関数を利用しています。一般的なUNIX系システムではmblen関数は利用可能でると考えられるので、問題となる事は少ないと思いますが、PHPではphp_mblenマクロが以下のように定義されています。 #ifndef HAVE_MBLEN # define php_mblen(ptr,
なぜSuhosinを使うのか - hnwの日記
Suhosinプロジェクトのドキュメント「Suhosin - Why ?」を日本語訳してみました。慣れた方の翻訳とはかけ離れた出来だと思います。というのも、日本語として自然な言い回しに変えようとした部分があり、翻訳としては少々問題があるかもしれません。また、僕の英語力にもそもそも問題があるわけですが、文意は99%取れたつもりでいます。 原文も長い文章では無いので、興味を持たれた方は原文も合わせてチェックして、僕のまずい翻訳を指摘して頂ければ助かります。 Suhosinが何かについては廣川さんの記事「【PHPウォッチ】第30回 相次ぐ脆弱性修正リリースとセキュリティ強化PHP「Suhosin」」が詳しいのでそちらをご覧下さい。 補足:SuhosinはPHP本体に対するパッチと、PHPエクステンションとの2つで成り立っており、それぞれ独立しています。(参照:Suhosin Downloads)
amazon API + PHP4 - 個人事業主のつぶやき
さて、もうちょっとで新サービスが開始できそうだ。 そのサービスのページの中でamazon APIをちょっとだけ使っている。 amazon APIはここに書いてあるecs.phpをそのままパクってくれば動くのだが、 サーバがPHP4なのをすっかり忘れていた。 このサンプルの中でsimplexml_load_stringという関数をつかっているのだが、こいつはPHP4では使えない。 いろいろと解決策はないかと探し回ったところ、 なんとか解決するすべを見付けた。 この互換性はおそらくかなり高いのでPHP4で動かしたい場合は、ecs.phpgだけ変えれば、あとは変更なく動くだろう。 使うのは、PEARのXML_Unserializerだ。 レンタルサーバにはPEARが入ってねーからつかえねーとあきらめてはいけない。 なんとたったの3ファイルあればこいつは使えるので、 それぞれダウンロードしてくる。
第19回 文字エンコーディングとセキュリティ(1) | gihyo.jp
文字エンコーディングを正しく、厳格に取り扱わないと、システムのセキュリティに大きく影響します。しかし、広く利用されているアプリケーションでも、大手サイトでも文字エンコーディングを不適切に取り扱っているケースは少なくありません。 今回から4回に分けて、セキュリティと文字エンコーディングをテーマに、Webアプリケーションがどのようなセキュリティ対策を取るべきか解説します。攻撃方法の解説ではないので具体的な攻撃方法は解説しませんが、どのように攻撃されるのかは簡単に解説します。 文字エンコーディングは厳格に扱わなければならない 問題の解説を始める前ですが、いきなり結論から入ります。それは、非常に簡単な原則であるにも関わらず、あまり多くのサイトやアプリケーションで守られていないからです。 文字エンコーディング取り扱いの原則文字エンコーディングは厳格に取り扱い、不正な文字エンコーディングを検出した場合
PHPスクリプト1つでできる簡単サーバ監視
こんばんは、牧野です。最近急に寒くなったせいか、風邪を引きかけています。。。アシアル社内はつい最近までTシャツ一枚で過ごせるくらい暑かったのですが、この前の金曜日から急に寒くなりました。皆さんも風邪には十分お気をつけ下さい。 さて、今日はサーバ監視のTIPSです。以前紹介したcactiや、nagiosのようなソフトを使わなくても、php(とunixコマンド)だけで簡単に監視プログラムを作ることができます。(ただしunixサーバ限定です。) 今回は、監視対象サーバへのping、ウェブページへのアクセス、スクリプト設置サーバのハードディスク、メモリの使用量をチェックすることにします。プログラムは次のような感じです。 check_server.php <?php $SERVER_IP = 'xxx.xxx.xxx.xxx'; $URL = 'http://www.asial.co.jp'; $M
徳丸浩の日記 - 書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性
_書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性 「PHP×携帯サイト デベロッパーズバイブル」という携帯サイト開発のノウハウを解説した書籍が今月初頭に発売され、話題になっている。Amazonの「インターネット・Web開発」カテゴリで1位ということで、たいしたものだ。私も発売前から予約して購入した。 私がこの書籍を購入した動機は大きく二つある。一つは、携帯サイトの最新の開発ノウハウをまとめた書籍に対する期待をしていたということ。もう一つは、セキュリティに対する記述がどの程度あるのかを見てみたいというものだった。 このうち、前者については、期待は叶えられた。非常に盛りだくさんのテーマが手際よくまとめられていて、かつ読みやすい。あまり原理・理屈のことは書いていないが、開発現場では、コピペの情報源として重宝されることだろう。 しかし、問題はセキュリティについての記述である。 本社のサ
Re:ENT_QUOTES脳? - Memo
突っ込み頂いたから返信します。 via 岩本隆史の日記帳 さん 「こんにちは」から始まる1行のみmain.phpに書かれているということだろう。 このコード、htmlspecialcharsの第2引数が「ENT_QUOTES」でなかったらどんな問題があるというのか。私にはまったく分からない。 「いや、問題がある」という方は、高木浩光さんの下記記事も批判してみてはどうか。 http://d.hatena.ne.jp/IwamotoTakashi/20080411/p1 こんな簡単なコードに一々 目くじら立てて、ENT_QUOTES 漏れを突っ込むなよって事でしょうか? それなら「セキュリティを気にしましょうね」と啓蒙している web デザイナ向けの記事で、エスケープ漏れのあるコードを提示していることです。 これを読んだ PHP 初心者が htmlspecialchars に第二引数、第三引数
第8回 ユーザ名とパスワードを入力させる | gihyo.jp
BASIC認証とは? あなたは、Webページにアクセスしようとしたとき、図1のような入力画面が表示された経験はないでしょうか。 図1 閲覧する前にユーザ名/パスワードを入力 これは上の入力欄にユーザ名を、下の入力欄にパスワードを入力して「OK」をクリックしたあと、Webページ側がデータと照合して正しいと判断されれば、Webページを閲覧できるというものです。これを実現するしくみをBASIC(ベーシック)認証といいます。BASIC認証の仕様はRFC2617で決められています。 最近はセキュリティの関係で、ログイン時にユーザ名/パスワードを入力するページを用意している例が多くなり、BASIC認証のみでログインするページをあまり見かけなくなりましたが、そのしくみを知っておくと、PHPプログラミングに役立ちます。 HTTPヘッダの設定 どんなことに役立つかというと、それはHTTPヘッダの設定です。H
Regexp - Regexp::Commonを引くAPI : 404 Blog Not Found
2007年10月17日17:00 カテゴリLightweight Languages Regexp - Regexp::Commonを引くAPI Mastering Regular Expression Jeffrey Friedl [邦訳: 詳説 正規表現] そういうことを防ぐにはどうしたらよいか、と考えて作りました。 秋元@サイボウズラボ・プログラマー・ブログ: phpspotの人は正規表現について語らないほうがいいのでは この人、以前にも正規表現のいいかげんな記事を書いていろいろ突っ込まれている。まずは実例から。 Server Source 何をしているかというと、Regexp::CommonをJSONPで引いているのです。このRegexp::Commonは、実際に使用され配布されている正規表現集としては最も実績のあるものの一つですが、そのままではPerlでしか使えないのでこうしてみ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[PHP]パスワードのハッシュ化にはcrypt を使うべき | ブログが続かないわけ![[PHP]パスワードのハッシュ化にはcrypt を使うべき | ブログが続かないわけ](https://cdn-ak-scissors.b.st-hatena.com/image/square/2302e44c95c7e474fefb218540004f95dc47a4bb/height=288;version=1;width=512/https%3A%2F%2Fimaging.jugem.jp%2Ftemplate%2Fimg%2Fjugem_og-image.png)
連載:なぜPHPアプリにセキュリティホールが多いのか?|gihyo.jp