PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)~JSON等の想定外読み出しによる攻撃~ - ockeghem(徳丸浩)の日記
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。今回はJSON等の想定外読み出しによる攻撃です。これら攻撃手法は本来ブラウザ側で対応すべきもので、やむを得ずWebアプリケーション側で対応する上で、まだ定番となる対策がないように思えます。このため、複数の候補を示することで議論のきっかけにしたいと思います。 まず、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(同書P20の図1-23)。 前回、前々回は、(5)のHTTPレスポンスの前後で、JSON等のデータ作成(エンコード)に起因するevalインジェクションや、(5)のレスポンスを受け取った後のHTMLレンダリングの際のXSSについて説明しました。 しかし、問題はこれだけではありません。正常
Jsphonをcodereposにアップロードしました。 - XOOPS専門-株式会社RYUS
haltです。 皆さんはJsphonというライブラリをご存知でしょうか。 www.hawklab.jp のhawkさんが書 かれたPHPでJSONをエンコードしたりデコードする為のライブラリです。PHPにはjson_encodeとjson_decodeという関数がありますが、比較的新しいPHPにしか実装されていない為、古いバージョンでJSONを利用する場合は別途ライブラリが必要になります。 非常に多くのライブラリやアプリケーションがこのJsphonを利用しているのですが、残念 ながらhawkさんがJsphonを公開していた www.hawklab.jp が閉鎖してしまった為、ライブ ラリの入手ができなくなりました。 そこで、JsphonがPHPライセンスである事に着目し、私のディスク内にあったJsphonをcodereposにアップロードしました。 codereposとは、http://c
GT Nitro: カーレーシング・ドラッグレーシングゲーム - Google Play のアプリ
GT Nitro: Car Game Drag Raceは、典型的なカーゲームではありません。これはスピード、パワー、スキル全開のカーレースゲームです。ブレーキは忘れて、これはドラッグレース、ベイビー!古典的なクラシックから未来的なビーストまで、最もクールで速い車とカーレースできます。スティックシフトをマスターし、ニトロを賢く使って競争を打ち破る必要があります。このカーレースゲームはそのリアルな物理学と素晴らしいグラフィックスであなたの心を爆発させます。これまでプレイしたことのないようなものです。 GT Nitroは、リフレックスとタイミングを試すカーレースゲームです。正しい瞬間にギアをシフトし、ガスを思い切り踏む必要があります。また、大物たちと競いつつ、車のチューニングとアップグレードも行わなければなりません。世界中で最高のドライバーと車とカーレースに挑むことになり、ドラッグレースの王冠
PHP 5.2.0 でデフォルトの拡張モジュールになった JSON 拡張モジュールを試してみる
PHP 5.2.0 でデフォルトの拡張モジュールになった JSON 拡張モジュールを試してみる 2006-11-04-2: [PHP] - JSON 関数 http://php.net/json $data = array( 'a' => 'あ', 'b' => 'い', 'c'=> array( 'd' => 'う' ) ); mb_convert_variables('UTF-8', 'EUC-JP', $data); $json = json_encode($data); echo $json, "\n"; $array = json_decode($json, true); mb_convert_variables('EUC-JP', 'UTF-8', $array); print_r($array); 文字コードは EUC-JP で.文字コードが UTF-8 の場合は,mb_co
PHPでJSONをエンコードする - スコトプリゴニエフスク通信
PHPでJSONのエンコードを行う拡張・ライブラリとしては、以下のようなものがあります。 php-jsonJsphon(なんて読むの?)HTML_AJAXServices_JSONZend Framework 他言語環境でJSONを確実に扱うには、文字列をユニコードで出力しなくてはなりません。上記の拡張・ライブラリを使う場合、あらかじめデータに含まれる文字列の文字コードをUTF-8に変換しておく必要があります。 mbstringが使えるならば、mb_convert_variableを使えば簡単です。 $data = mb_convert_variables('UTF-8', mb_internal_encoding(), $data); $json = json_encode($data); mbstringが使えないならば、データに含まれる値を再帰的に調べて、文字列をUTF-8に変換し
PieceとJSON/JSONP - スコトプリゴニエフスク通信
PHPのWebフレームワークのAJAXへの対応状況はまちまちで、どれもAJAXを通して応答を返すことをアプリケーション開発者が意識しなくてはならなかったり、かなり泥臭い対応をしなくてはならなかったりします。 Piece Frameworkは現時点で、AJAXやJSON/JSONPといった技術に対応するための機能を何も提供していませんが、対応するのは極めて容易で、しかも他のフレームワークでは実現できないような透明性を確保できます。僕自身、ありとあらゆるPHPのWebフレームワークに精通しているわけではありませんが、それでもやはり、Piece の柔軟性には特筆すべきものがあると考えます。 以下で記述している内容は、Piece Framework本家にまたマージされていません。PieceでJSON/JSONPを扱うための私案とお考えください。 Pieceのビューの設定は、piece-unit
Amazon Web Service と PHP で JSONP - AUSGANG SOFT
AsociateHelperのバージョンアップに備えて、Amazonの商品情報をJSONPで呼び出す方法をメモっておきます。 JSONPって何よ?って方は以下を参照。 hail2u.net - Weblog - JSONP http://hail2u.net/blog/coding/jsonp.html JSONをJavascriptでより扱いやすくするものっぽいです。 JSONPサンプル http://amazie.jp/la/json.php?mode=Books&keyword=harry&callback=loaded ※これは、サンプルで公開サービスではないです。予告なく停止することがあります。 これを使ったAmazon検索 http://amazie.jp/la/jsonp/new.htm コードのせいなのか、うちのサーバーが重いのか、今ひとつレスポンスがよくない感じ。 PHP
Ajaxの真価はWebサービス連携にあり
落ち着きつつあるAjaxを取り込んだWebアプリケーション開発への取り組み。後発でもアイデアはまだまだ出尽くしていない。基本を復習して新たなサービスへとつなげてみよう。 Ajaxというと、XMLでデータを送受信するというイメージがある。 しかし、実際にはXMLである必要性はない。むしろXML形式ではないほうが、送受信データパースの手間が必要ないというケースが多いのだ。 一方で、XMLでデータをやり取りできる利点を生かせば、当然ながらWebサービスとの効果的な連携も現実的なものになってくる。今回は、Ajaxアプリケーションにおいてよく用いられる「JSON」と呼ばれるデータ形式について解説しよう。 このオンライン・ムックPlus「Web 2.0で変わるWebプログラミングの常識」では、これまでにAjaxの概要(第1回)から発展系としてどのような取り組みあるのか(第2回)について解説した。このオ
hawklab.jp
このドメインを購入する。 hawklab.jp 2019 Copyright. All Rights Reserved. The Sponsored Listings displayed above are served automatically by a third party. Neither the service provider nor the domain owner maintain any relationship with the advertisers. In case of trademark issues please contact the domain owner directly (contact information can be found in whois). Privacy Policy
Jsphon - JSON in PHP
このドメインを購入する。 hawklab.jp 2019 Copyright. All Rights Reserved. The Sponsored Listings displayed above are served automatically by a third party. Neither the service provider nor the domain owner maintain any relationship with the advertisers. In case of trademark issues please contact the domain owner directly (contact information can be found in whois). Privacy Policy
hawklab.jp
このドメインを購入する。 hawklab.jp 2019 Copyright. All Rights Reserved. The Sponsored Listings displayed above are served automatically by a third party. Neither the service provider nor the domain owner maintain any relationship with the advertisers. In case of trademark issues please contact the domain owner directly (contact information can be found in whois). Privacy Policy
PHPでJSON - Do You PHP?
[2006/10/31] php-jsonはPHPのソースツリーに取り込まれ、PHP5.2.0からデフォルトで組み込まれるようになります。 Web2.0の盛り上がりに連れてますます盛り上がっているAJAXですが、非同期通信でやりとりされるデータフォーマットとしては、 XML形式 JSON(JavaScript Object Notation)形式 があります。以前AJAXのサンプルを作ったときはデータはXML形式でしたが、(今更ですが)今回はJSONを色々試してみます。 PHPでJSONを扱う場合、現時点で以下の二つのモジュールがよく知られています。いずれも配列・連想配列などをJSON形式へ変換する機能を提供しています。 PEAR::Services_JSON php-json 今回はこれらのインストール手順のまとめと簡単な動作サンプルの作成、前回の郵便番号検索をそれぞれのJSONに焼き直
Hawk lab : JSONEncoder
このドメインを購入する。 hawklab.jp 2019 Copyright. All Rights Reserved. The Sponsored Listings displayed above are served automatically by a third party. Neither the service provider nor the domain owner maintain any relationship with the advertisers. In case of trademark issues please contact the domain owner directly (contact information can be found in whois). Privacy Policy
omar kilani - projects - php-json
php-json is an extremely fast PHP C extension for JSON (JavaScript Object Notation) serialisation. It conforms to the JSON specification. It is now part of PHP 5.2.0. Download Version 1.2.1 (SRPM, Win32) - Released 2006-04-01 - Rework comma insertion during encoding. Version 1.2.0 (SRPM, Win32) - Released 2006-03-14 - Complete rewrite using JSON_checker as the base for the parser. Implements the J
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://tdiary.ishinao.net/20060307.html