第25回 PHPのアキレス腱 ── セッション管理 | gihyo.jp
PHPにはHTTPセッション管理モジュールが標準で付いてきます。このセッションモジュールには非常に重大なセキュリティ上の脆弱性が修正されずに残っています。その脆弱性とはセッションアダプションです。 セッションアダプションとは、セッション固定化攻撃に利用される脆弱性です。PHPのセッション管理モジュールがセッションアダプションに脆弱であることは、かなり以前、何年も前から知られています。しかし、開発者の理解不足より脆弱性が放置されたままになっています。 セッションアダプションとは セッションアダプションとは、ブラウザ等から送信された未初期化セッションIDをそのまま利用してセッションを初期化してしまう脆弱性です。ユーザが送信してきたIDでも第三者に予想できない文字列であれば大丈夫なのでは?と考える方もいると思います。その通りで第三者に予想できなければ問題ないですし、仮に予想できてもログインする際
携帯でuse_trans_sidを使ったセッションの扱い 前編
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2023年5月時点の調査。
Free CakePHP E-Book - Super Awesome Advanced CakePHP Tips | PseudoCoder.com
For those of you who just want the book Super Awesome Advanced CakePHP Tips For those that want a 1500 word blog post I’ve been sitting on this thing for the last two weeks and figure it’s about time I just let it out. Ahhhh….so much better. Now, about the book. What better way to introduce it then a fake interview? Off we go! What exactly is this thing and why should I waste my precious bowl time
おうちパーティー学
誰のために何をえらぶ?パーティーは無限大、個性的なパーティーをつくろう おいしいたべもの、いい音楽、楽しい雰囲気にみんなの笑顔。 一人暮らしの部屋でも、家族が集まる食卓でも、山の上のキャンプ場や海に浮かぶ船の上だって、人が集まれば、そこは楽しいパーティー空間になります。誰のために何を選ぶか。 集まるゲストを思い浮かべてコンセプトを決め、外に飛び出して素材を探し、必要なものを選ぶ。 それは時に料理だったり、音楽だったり。自分の好きなものや経験の掛け合わせが個性的なパーティー空間を生み出します。 体験して学ぶ!パーティー料理アレンジ&スタイリング パーティーをつくる要素とは何でしょうか? 料理?飲み物?装飾?コーディネート? ここではパーティーづくりの様々な要素についてあらゆる切り口から学んでいきます。 おうちパーティー経験豊富な盛り付けデザイナーの飯野登起子さんを教授にお迎えし、目で見て楽し
フリーで読めるCakePHP本(PDF)が出た - cakephperの日記(CakePHP, Laravel, PHP)
Thank you very much! Matt, Mark. 英語ですが、「Super Awesome Advanced CakePHP Tips」というPDFがフリーで配布されてます(CCライセンス)。 下記URLのDownloadのセクションから見ることが出来ます。 http://www.pseudocoder.com/free-cakephp-book/ 著者は、Matt CurryとMark Storyの二人なので見る価値ありすぎ! バージョン管理で含めないほうがよいファイルとか、デプロイ時にcore.phpのデバッグ値を0に書き換えるコマンドとか、細かいところまで載ってます。 Free CakePHP E-Book - Super Awesome Advanced CakePHP Tips
セッションの有効期間とか設定とか挙動とかを調べました - [PHP + PHP] ぺんたん info
PHPでログインページを作ったりするときに、よくセッションを使ったりすると思いますが、 じゃあセッションってどのようになってるのでしょうか。 [参考]セッション固定攻撃 [参考]GPC(GET/POST/cookie)以外の情報を送るアラワザ [参考]アンダーバーのあるドメインではセッションクッキーは使用できません セッションの破棄されるタイミング ガベージコレクト(ガベージコレクション、ガーベッジコレクション、ガーベッジコレクタともいわれます)とは、『ごみ拾い』という意味です。 session_start()が行われたときに、session.gc_probabilityを分子、session.gc_divisorを分母とする確率で、 session.gc_maxlifetimeよりファイル更新日付の古いファイルをsession.save_pathから削除します。 デフォルトでは、1/10
あるSEのつぶやき: 携帯サイト構築メモ
携帯サイトを作る情報を公開しているサイトを、何かの時のためにメモしておきます。 ■情報サイト Mobile-users.jp - 日本のモバイルサイト開発者のためのハブサイト ke-tai.org > Blog Archive > モバイルサイト開発者のためのハブサイト「Mobile-users.jp」 PCサイトを携帯に対応させるまとめ(AffilicatePortal.net) 携帯からアクセスがあった場合に、携帯用ページにリダイレクトする方法や、エミュレーター、変換プログラムなどが紹介されてます。 携帯サイトの作り方 携帯サイトを構築する方法が詳しく解説されてます。 携帯電話向けコンテンツの書き方(ウェブの作り方)。 かなり詳しい解説です。 携帯便利ツールEZ-INFO 携帯サイト構築に役立つ情報、ツール、リンクがあります。 携帯サイト開発にあたっての下調べメモ(集積蔵) エミュレー
tips - Webサーバーの負荷テストならまずab : 404 Blog Not Found
2009年05月13日16:45 カテゴリTips tips - Webサーバーの負荷テストならまずab だめじゃん。 WEBアプリ開発に便利な機能&負荷テストツール集:phpspot開発日誌 abがないじゃん。 abとは何かというと、apacheに標準でついてくる負荷テストツールの名前。apacheが入っている環境であれば、まず間違いなく入っているはず。 引数なしだと、help表示。 ~% abab: wrong number of arguments Usage: ab [options] [http[s]://]hostname[:port]/path Options are: -n requests Number of requests to perform -c concurrency Number of multiple requests to make -t timelimi
はてなブックマークに追加する機能 - カナかな団首領の自転車置き場ダイアリー
id:namnchichi【はてなハイク】を見てて思いついたんだけど。 はてブにも、 コメントとか、 Reply とか、 Response とか、付けたら面白いかも。 今は、 スターだけが付いてるんだけど、これの意思表示は微妙で、引用も出来るけれど(時々うまく動かないし)、全面賛成なのか、一部同意なのか、反対の意味でつけてるのか、まあ、とっても緩いシステムでそれはそれで好いんだけど。 やりすぎるとブクマでなくなってしまう様な気もするけれど。 追加したとしても、 コメント(はてブコメントに対するコメント)くらいかな。
はてなブックマークに追加するシカト機能 - ズンガリガリガリズンガリガーリ
はてなマイナス評価は"嫌い"もしくは"間違っている"という主張で非表示は"無視"だよね。マイナス評価の付け合いはケンカになると思うんだけど*1、無視はネット上だと問題になりにくい。むしろスルー力の達人とか言われる。だから非表示どんどんやっていいんじゃないかな。みんなもっと「こりゃあかんわ」という人を非表示にしたらいい。それで、「○○人がこのユーザーを非表示にしています」と人数が分かれば、むかつくブクマコメント付けられても「ああ、そういう人なんだな」と思える。もしくはすでに非表示で見えない。相手があんまり非表示にされてない人だったら、少なくとも村の一部において許容されてる人の意見ということであきらめる。ネガコメしたい人はいつも通りできる。あんまり大勢に非表示にされればちょっと考え直す機会も得られる。どのようなコメントも表示されておくべきだよ、という考えの人からは普通に見える。叩きたければ叩け
株式会社マジカジャパンの羽生章洋が書いてるブログ:今日のCouchDB - livedoor Blog(ブログ)
メインフレーム時代とはCOBOL時代と言い換えてもいいでしょう(RPGやPL/Iの方には申し訳ない)。これは更に言い換えると固定長のパラダイムだとも言えます。オープンシステム時代になりRDBMSが主流となったときに一番のパラダイムシフトは、実は明細の扱い方だったと言えます。 COBOLをご存じの方はOCCURSを当然使っていたはずです。OCCURSとは繰り返しを表すもので、売上データというファイルがあったときに明細部分は繰り返しになりますから、OCCURSを指定します。ややこしい言い回しを使っていますが、要するに配列定義ということです。 さて、COBOLは固定長のパラダイムだと書きました。実はこのOCCURSで定義される配列は繰り返し数が事前に固定されます。例えばOCCURS 5.と書けば5回繰り返しということです。一応可変長が可能ということになってはいるのですが、多分今でも指定した上限を
カラーインスピレーションを刺激するサイト集
ブルー、グリーン、レッド、イエロー、ブラックなど各色のフォトやウェブサイトなどをコレクションしたカラーインスピレーションを刺激するサイトを紹介します。
まだマシな方かも - NullPointer's
いわきにはチョーさんがたんけんしていた頃に住んでました。 典型的な寂れた地方都市でモウダメポ感が漂ってますが、あれでも地方都市ではまだ恵まれている方かもしれません。東京から二時間程度の比較的近距離なこと。高速道路や大きい港があってインフラが整備されており、工場を誘致しやすいこと(日産の工場誘致に成功している。クルマの輸出にもここの港を使っているらしい)。何もない都市にくらべるとかなりマシな方です。マシなだけで全く良くはないのですけど…。 先日いわき湯本という場所に行ってみたのですが、もうさみしくてさみしくて・・・。 あそこの温泉資源は全部旧称ハワイアンセンター(フラガールのあれ)に吸収されているようなものなので、温泉街はやる気がないのでしょう。観光はゴルフと水産資源中心ですねー 地元のヒマそうなお兄さんに絡まれるだけなんじゃないかと心配になりました、ええ。僕がひとりで町を歩いているとすげー
はてブ陶片追放って上手くいかないんじゃないかな - 煩悩是道場
久しぶりにはてブネタ。調べてみたら一ヶ月半も書いてなかった。自分が如何に「はてなムラ」から遠ざかった場所にいるかがわかるってもの。 具体的にはdigg型、youtube型のコメントに対する評価機能をつけるべき。明らかにアホなコメントにはbadのボタンをクリックして、いくつかたまると非表示にする。そうすれば、アホなコメントが人の目に触れる機会が劇的に減る。もちろん、本人は自分のコメントが批判されているということがわかるようにする。そうしないと、そいつは改めない。自分がどんな愚か者であるかに気づかない。この機能がつくだけで、はてブのコメントに殺伐感が生まれる。「自分のこのコメントは大丈夫だろうか」と考えるようになる。はてブはYouTubeのようにコメントに対するマイナスの評価軸を取り入れるべき - Cheshire Lifeはてなブックマークはもう十分殺伐だろ、というのはともかくとして、非表示
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CakePHPで携帯サイトを作る - PaginatorHelperとセッション « trekdevel
twitter検索
http://blog.e-riverstyle.com/2008/07/css-3.html
IDEA * IDEA