PHPプログラマのためのXXE入門
この日記はPHP Advent Calendar 2017の25日目です。前回は@watanabejunyaさんの「PHPでニューラルネットワークを実装してみる」でした。 OWASP Top 10 2017が発表され、ウェブのセキュリティ業界がざわついています。というのも、2013年版までは入っていたCSRFが外され、以下の2つの脅威が選入されたからです。 A4 XML外部実体参照(XXE) A8 安全でないデシリアライゼーション これらのうち、「A8 安全でないデシリアライゼーション」については、過去に「安全でないデシリアライゼーション(Insecure Deserialization)入門」という記事を書いていますので、そちらを参照ください。 本稿では、XML外部実体参照(以下、XXEと表記)について説明します。 XXEとは XXEは、XMLデータを外部から受け取り解析する際に生じる脆
なぜ彼はLAMPを捨てXML DBに走ったのか(1/2) - @IT
日本アイ・ビー・エム 中林 紀彦 2007/10/22 最新のXMLデータベース実装となるViper 2(DB2 9.5)のリリースを機に、全4回の連載記事であらためてXMLデータベースの利点を考えてみる。そこで見えてきたものとは?(編集部) ■いかにしてKさんは設計変更のワナにはまったか これはインターネット上でサービスを提供しているある企業で働くKさんのお話です。この会社では、CGM(ユーザー生成メディア)サイトを立ち上げることになり、Kさんが全体のアーキテクチャ設計からデータベース、プログラミングまですべてを担当することになりました。しかもベータ・サービスの開始が1カ月後と迫っています。 Kさんは早速、アーキテクチャの選定に入りました。この部分は迷うことなくLAMPを選択しました(注1)。これまでの経験上慣れているのと、オープンソースであるためコストもかからないのでほかに選択の余地は
XML::SimpleのXMLinで、UTF-8 flagがonになるときとならないときがあるのはなぜでしょう?→解決 - 結城浩のはてなブログ
いつも教えてクンで申し訳ありません。PerlのUTF-8 flagに詳しい方に質問です。 以下のCGIをWindowsで動かしたときと、Freebsdで動かしたときに振る舞いが変わる理由を知りたいと思っています。 sample.cgi #!/usr/bin/perl use strict; use warnings; use Encode; use Data::Dumper; use XML::Simple; my $ref = XMLin('input.xml'); print "Content-type: text/html; charset=UTF-8\n\n"; print '<pre>'; print Dumper($ref); if (utf8::is_utf8($ref->{name}->[0])) { print 'ON'; } else { print 'OFF'; }
Web2.0ナビ: SQL-DESIGNERがスゴイ
いいね! 0 ツイート B! はてブ 447 Pocket 2 データベースの設計時にER図をかくことが多いと思いますが、SQL-designerというウェブベースのツールが非常に使いやすいく、デザイン的にも綺麗で便利。 MSproject等のデータベース設計を行う専用ソフトは非常に多くあるが、どれもインストールが必要だったり、設定ファイルが必要だったり、ソフトが重かったり、環境依存が激しかったりして、使いにくい。 使いかたは簡単で、 1.ウェブページにいって 2.テーブルやフィールドを追加する 3.プリントアウトorXMLエクスポート だけ。 データの型なども選択できて、設計が終わったら、SQL文をそのまま発行したり、作ったEQ図をXMLでエクスポートやインポートすることも可能。Javascriptベースなので、めんどくさいインストールや環境依存もなし。 ウェブ上でやるのは、セキュリティ
Catalyst::Model::XML::Feedがおもしろい - はこべにっき ♨
結構面白げなCatalyst向けモジュールであるCatalyst::Model::XML::Feedを使ってみた。というか、今回の課題のメインの機能はこれつかってる。 その名の通り、CatalystのModelとしてRSS/Atomフィードを使えるようにするモジュール。適当に、 $ ./script/myapp_create.pl model Feedsとかして、空っぽのモデルを作った後、作ったモジュールで、 use base 'Catalyst::Model::XML::Feed';で終了。あとは適当なControllerで、 $c->model('Feeds')->register($uri); my @feeds = $c->model('Feeds')->get_all_feeds;とすると、XML::Feedオブジェクトのリストが帰ってくる。あとは煮るなり焼くなり。 Cataly
XML::XPath - 要素の検索
[Perl] XML::XpathはXML::Parserを基盤としたモジュールで、XMLより特定の要素情報を抜き出すのに使用される。 [使用例] #!/usr/bin/perl use XML::Xpath; my $file = 'test.xml'; #ファイルを読み込む場合はfilenameを、stringを読み込む場合にはxmlを指定 my $xp = XML::XPath->new(filename=>$file); #取り出したい情報を問合せる my $nodeset = $xp->find('//PurchaseUrl'); if ( my @nodelist = nodeset->get_nodelist ) { #string_valueメソッドにて要素内のテキストを抽出 my @matches = map($_->string_value, @nodelist); p
ppmでXML/SAXのエラーが出る場合 - Charsbar::Note
なにやらエラーっぽいメッセージがでながらもインストールが進んでいく。 エラーっぽいメッセージというのは Unabele to recognize encoding of this document at C:/Perl/site/lib/XML/SAX/PurePerl/EncodingDetect.pm line****, <$_ANONIO_> line****. というもの。 これが三大罠と呼ばれる「Encoding::Detectが入らない」なのだろうか。よくわからん。うまく動かなかったらCharsbar::Note - Win32にEncode::Detectを入れる(2)を読んで考える。 http://blog.livedoor.jp/livenhk/archives/50614504.html これは三大罠じゃなくて、既知なのにいつまでも直してもらえないXML::SAXのバグ
XML用語事典 [DOM (Document Object Model]
DOM (Document Object Model) ドム XMLパーサにアクセスするためのAPIの1つ。W3Cが公式に公開した唯一のAPIである。DOMには、Level 1、2、3などいくつかのレベルがある。レベルが大きい方が、より新しく高機能だ。 DOMは、XML文書を「DOMツリー」と呼ばれるツリー構造として扱う。そのため、XMLパーサがXML文書全体を読み込んだ後でなければ、文書内のデータにアクセスすることができない。また、DOMツリーは通常、メモリ上に展開されるため、大規模なXML文書を処理する場合には、その分メモリ容量も要求される。その代わり、DOMを利用すれば、XML文書内のデータの順番に関係なくアクセスできる。 DOMは公開された標準であるため、これに準拠したXMLパーサが複数公開されている。DOMを用いてアプリケーションソフトを記述すると、そのアプリケーションから利用可
PHP4.3.0でのDOM XML - Do You PHP?
ここにある情報はかなり古くなっており、正しくなくなっている可能性があります。掲載しているサンプルコードiなどは、最新のPHPでは動作しない、もしくは、別途設定・調整が必要になるかも知れません。情報を鵜呑みにせず、あなたの手を動かして、あなたの目で確認してください。 [2004/01/30] PHP5からSimpleXML関数が追加されますが、こちらもXMLをオブジェクトとして扱える関数が揃っています PHPマニュアル より。。。注意: この拡張は実験的なものではありません。しかしながら、PHP 5 では決してリリースされないでしょう。また、PHP 4 でのみ配布されます。 もし PHP 5 でDOM XML をサポートする必要がある場合、 DOM 拡張を使用することができます。 この domxml 拡張は DOM 拡張と互換性はありません。 PHP4.3.0ではほぼDOM2(だったと思い
PHP用domxml - phpspot
「Pear-XMLTreeを使う」で紹介した、 PEARのXML_Treeによってツリー構造を実現してもよいのですが、domxmlエクステンションが利用できるサーバで使える場合はこちらで使った方がパフォーマンスは向上するでしょう。 以下に使い方をまとめます。 まず、最初に、 $dom = @domxml_open_file($senduri); または、 $dom = @domxml_open_mem($xmlstr); によって $dom オブジェクトを作成します。 domxml_open_file は既存ファイルや、外部URLがファイルとして開ける場合はURLとして渡します。 例) domxml_open_file("a.xml"); domxml_open_file("http://foo/a.xml"); // php.ini でURL読み出し禁止の場合は使えない。 domxml_
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.hawk.34sp.com/stdpls/php/pear_xml_tree.html