magic_quotes_gpc = On の対策 - [PHP + PHP] ぺんたん info
[参考]GPC(GET/POST/cookie)以外の情報を送るアラワザ php.iniで以下の設定があるとき magic_quotes_gpc = On クライアントより<form>フォームで送られた文字列データが全てエスケープされ、 「" → ¥"」「¥ → ¥¥」など変換処理が行われます。 またクッキーも同様です。 ここで問題になってくるのが、Shift-JISを扱うときです。5C文字化けに遭遇します。 『ソ』、『噂』、『圭介』、『能』という字も、エスケープされます。 エスケープしないようにするためには、Magic quotesの設定をOffにするのが単純な方法ですが、 設定変更できない場合などあります。 またこれが設定されているかされていないかで、いちいち意識するのも面倒であったりします。 たとえば開発環境のサーバーではできてたのに、本番環境のサーバーではできなかったり。 そんなと
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
PHP から WMI の実行
<?php $str = "winmgmts:{impersonationLevel=impersonate}!\\\\.\\root\\cimv2"; $obj = new COM($str); $ret = $obj->ExecQuery( "Select * from Win32_OperatingSystem" ); print "<PRE>"; foreach( $ret as $key => $target ) { print "{$target->Caption}\n"; print "{$target->CSName}\n"; print "$target->ServicePackMajorVersion"; print ".{$target->ServicePackMinorVersion}\n"; print "{$target->WindowsDirectory}\n
PHPのセキュリティ - みかログ
[security] 1) 例えば、Webサイトに書かれている事を鵜呑みにしないより より良いWebアプリケーション設計のヒント 1) 例えば、PHPを避ける 短時日で素早くサイトを立ち上げることのみに着目するのであれば、PHPは悪い処理系ではない。しかし、これまで多くの脆弱性を生んできた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。 takesakoさんから聞いたネタなんだけど、アフォか(一刀両断 Javaや.Netや他のLLを使ったところで実装者の知識が足りなければ簡単にセキュリティホールは発生します。 逆に、「PHPだから短時間で素早くサイトを作れる」わけじゃありません。 素早くサイトを立ち上げること「のみ」に着目して作るからセキュリティホール作ってるんじゃないかと。 このサイトを見ている人がこういった妄言に振り回されないことを切実に願います。 元記事にはいろいろつっ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
