PHPバージョンアップけもの道at "PHPバージョンアップ kickoff" 2021/07/15 https://breaktimes.connpass.com/event/218221/
Phan静的解析がもたらす大PHP型検査時代 - pixiv inside [archive]
こんにちは、pixivでPHPをやってるうさみです。健全なコードベースは黙っても降ってこないので、チーム全体で開発効率を高めるような改善をするのがお仕事です。 テキストエディタはmicro推しです ヾ(〃><)ノ゙☆ さる11月3日に大田区産業プラザ PiOで開催されたPHPカンファレンス 2016にて大怪獣に蹂躙されながらPhanについて30分のセッション発表をいたしましたので、その内容を紹介します! Phanとは PhanはPHPの静的解析ツールです。開発元はハンドメイドのマーケットサービスを運営し、現在PHP作者のRasmus Lerdorf氏する米Etsy社です。もちろんRasmus Lerdorf氏も開発に参加してます。 Phanは以下のような項目を検出できます。 関数・クラス・定数・変数などがすべて定義済か、アクセスできるか 関数の型と引数の数が合ってるか PHP5とPHP7の
![Phan静的解析がもたらす大PHP型検査時代 - pixiv inside [archive]](https://cdn-ak-scissors.b.st-hatena.com/image/square/7fdaa8be58c79ec950cacb6d1ae0d8f7de33e9bf/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fz%2Fzonu_exe%2F20161111%2F20161111195637.jpg)
CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になった実装例
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2011年1月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 橋口誠さんから今話題の書籍パーフェクトPHP (PERFECT SERIES 3)を献本いただきました。ありがとうございます。このエントリでは同書のCSRF対策の問題点について報告したいと思います*1。 本書では、CSRFの対策について以下のように説明されています(同書P338)。 CSRFへの対応方法は、「ワンタイムトークンによるチェックを用いる」「投稿・編集・削除などの操作の際にはパスワード認証をさせる」などがあります。一番確実な方法は両者を併用することですが、ユーザ利便性などの理由から簡略化する場合で
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
PHP逆引きレシピは概ね良いが、SQLインジェクションに関しては残念なことに - ockeghem's blog
404方面でも絶賛されていたPHP逆引きレシピを購入した。本書はとても丁寧な仕事で素晴らしいと思ったが、セキュリティに関しては若干残念な思いをしたので、それを書こうと思う。 目次は以下のようになっている。 第1章 準備 第2章 PHPの基本構文 第3章 PHPの基本テクニック 第4章 ファイルとディレクトリ 第5章 PEARとSmarty 第6章 Webプログラミング 第7章 クラスとオブジェクト 第8章 セキュリティ 8.1 セキュリティ対策の基本 8.2 PHPの設定 8.3 セキュリティ対策 第9章 トラブルシューティング 第10章 アプリケーション編 PHP逆引きレシピ オフィシャルサポート 本書は、タイトルの示すように、コレコレしたいという目的ごとにPHPでの書き方が書かれている。よくある逆引き辞典タイプの本だが、類書に比べて丁寧に書かれている印象を受けた。私が感心したのは、PH
Emacs als PHP-Editor
Zusammenfassung Mit php-mode existiert ein solides Paket, um mit Emacs PHP-Quelltext zu bearbeiten. Die Dokumentation zu diesem Paket ist jedoch leider so gut wie nicht vorhanden, so dass es erst einmal ein wenig Arbeit erfordert, sich anhand des Lisp-Quelltextes bis zu den Konfigurationsmöglichkeiten des Pakets vorzuarbeiten. Dieser Artikel soll die Lücke schließen und erläutern, wie man sich mit
PHP Mode Manual
PHP Mode マニュアル このマニュアルは、GNU Emacs で使用する PHP mode version 1.5.0 のドキュメントです。 Copyright © 2008 Aaron S. Hawley Free Software Foundation によって提出された GNU Free Documentation License, Version 1.2 またはそれ以降のバージョンの下でこの文書をコピーし、配布かつ/あるいは編集することが許可されています。 ライセンスのコピーは “Copying This Manual.” というタイトルのセクションに含まれています。 ライセンスのコピーは Free Software Foundation ウェブサイト http://www.gnu.org/licenses/fdl.html からも入手できます。 The document w
コードハイライト用PHPライブラリ:GeSHi:phpspot開発日誌
GeSHi - Generic Syntax Highlighter :: Home Welcome to the home of the Generic Syntax Highlighter - GeSHi. GeSHi started as an idea to create a generic syntax highlighter for the phpBB forum system, but has been generalised to this project. GeSHi aims to be a simple but powerful highlighting class, with the following goals: コードハイライト用PHPライブラリ、GeSHiの紹介。 なんと、次のような多数の言語ハイライトに対応しています。 Actionscript、ADA、A
讃容日記
こんにちは。自分のブログを書くのはものすごく久しぶりのid:rskyです。何年知的便秘だったんだって感じですね。 表題のとおりこれからCコンパイラを作っていこうかと思います。同僚のDQNEOさんが<8cc.go>というコンパイラを作られていて、それに触発されて「Rustでやってみよう」ということで、<低レイヤを知りたい人のためのCコンパイラ作成入門>をCでなくRustでやっていきます。 Rust自体も初めてなので、それも含めてどんなものになっていくのか、自分でも楽しみです。 なお、今後このシリーズでは<低レイヤを知りたい人のためのCコンパイラ作成入門>を二重鉤括弧つきの『入門』と表記します。 開発環境 自分の開発マシンはMacですが、macOSはターゲットとせずLinuxで動くものを作っていきます。『入門』にも macOSはLinuxとアセンブリのソースレベルでかなり互換性がありますが、完
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Debian Squeeze に nginx + php-fpm な Web サーバーを構築する | 暇人じゃない
http://mitsukuni.org/blog/2009/01/16/php%E3%81%AE%E3%83%A1%E3%83%A2%E3%83%AA%E5%89%B2%E5%BD%93%E9%87%8F%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/
PHPだけでリアルタイムAJAXチャットシステムを構築する方法。 - ぎじゅっやさん
https://www.paypalobjects.com/IntegrationCenter/ic_sdk-resource.html
PHP入門
http://jimbojw.com/wiki/index.php?title=Defending_PHP
ライブドアブログ|無料で豊富な機能が充実