Apacheの多重拡張子にご用心
先日の日記『「10日でおぼえるPHP入門教室 第4版」はセキュリティ面で高評価』では、同書のアップロード機能のセキュリティ面を評価しつつ、「もうひと踏ん張り確認して欲しい内容がある」として、画像XSSの可能性について指摘しました。では、これを直せば完璧かというと、実はそうとも言えないという微妙な問題があります。それは、アップロード先の場所とファイル名の問題です。 ファイルをアップロードするディレクトリ: ドキュメントルート下の /php10/doc/ ファイル名: ブラウザから送信されたファイル名そのまま これらのうちファイル名の拡張子については、gif/jpg/jpeg/pngのみを許すという、いわゆるホワイトリスト検査がされていて、またgetimagesize()関数により、画像ファイルであることの簡易的なチェックをしています。しかし、この状態では、環境によってはアップロードしたファイ
apacheのMaxClientを算出するスクリプトを作った - webネタ
概要 apacheの設定にあるMaxClientsは、サーバースペック等から算出できるため、毎回手動で計算するのは面倒なのでスクリプトを作った。 計算方法 (サーバーメモリ量) / (httpd使用メモリ量 - httpd使用共有メモリ量) = MaxClients psコマンドではなく、/proc/PID/smapsから取得しているためより正確。コマンドのみで算出しようと思ったが、平均値とか出すのが面倒だったためスクリプトにしてみた。でも、あくまで目安ということで。 参考 基本的にここを参考にさせていただきました。 http://d.hatena.ne.jp/hogem/20080506/1210073173 ソースコード githubにも置いてます。 https://github.com/ryoppy/Get-MaxClients. 使い方 /usr/bin/php get_max_c
PHPをApacheから切り離す。WSGI対応のPHP製アプリケーションサーバ·AppServer MOONGIFT
AppServerはWSGI等にインスパイアされたPHP製のWebアプリケーションサーバ。 AppServerはPHP製のオープンソース・ソフトウェア。PHPはWebサイトの開発でおそらく最も利用されているプログラミング言語だろう。10年前ならともかく、今では企業の基幹システムでさえ利用されるようになっている。Apache + mod_phpという組み合わせが一般的だ。 デモ画面 それをデファクトと受け止めるのは良いが、それ以外の選択をなくしてしまうのは発展性がない。Apache以外、例えばnginxで動かす場合や他のWebサーバを想定するならば依存関係がない方が良い。それを実現するのがAppServerだ。 AppServerはRubyでいうRack、PythonでいうWSGIにインスパイアされて開発が行われている。APIを通じてWebアプリケーションとWebサーバをつないでくれる。アプ
特定ファイルのみPHPを無効にする方法 - F.Ko-Jiの「一秒後は未来」
拡張子.htmlのままPHPを有効にしている このブログでは拡張子 .html のままPHPプログラムが実行できるようにしています。 拡張子を .html にしているのは、過去記事のパーマリンクを変更したくなかったためです。ブログを始めた当時はPHPを使っていませんでした。 .htmlファイルでPHPを実行できるようにする方法は簡単で、.htaccessファイルやApacheの.confファイルに以下の1行を書くだけです。 AddType application/x-httpd-php .html PHPを使うと全ページで共通した部分(ヘッダー、サイドバー、フッターなど)をパーツ化できるので、MTの再構築が軽くなります。また、ページ内に色々とプログラムを組み込むことができるので便利です。 一方で、PHPで出力するとサーバー側の負荷が高くなってしまいます。同時アクセス数が急増すると、メモリを
ApacheTips – mtamaki.com – Trac
phpをApacheで動かす際に気になったこと php公式推奨の方法は AddType application/x-httpd-php php のようだ。(Ref: PHP: Apache 2.0 (Unixシステム用) - Manual) 例えばmod_pythonなら、 AddHandler mod_python .py である。(Ref: 3.1 A Quick Start with the Publisher Handler) phpも実際はmod_pythonのように.phpファイルを読み込んで処理して返すわけで、ハンドラとしての機能を内蔵しているはずである。 なのに、なぜAddHandlerでないのだろうということ、また、AddHandlerで指定するハンドラ名がGoogleで調べるとばらばらなのはなぜか、ということが気になったのでちょっと調べてみた。 php
ウノウラボ Unoh Labs: PHPで書かれたwebサービスを高速化する
尾藤正人です。 アクセス数の多いコンシューマ向けの web サービスは、処理速度がかなり重要になってきます。 応答速度が遅いと使用しているユーザにとってストレスになりますし、 処理に時間がかかればサーバに対する負荷も高くなります(厳密に言うと違う)。 そこでウノウではいろいろな工夫をして処理速度の高速化を行っています。 一口に高速化といってもいろいろな要素がありますが、大きく分けて3つの段階があります。 ・ハードウェアによる高速化 ・ソフトウェアによる高速化 ・プログラムの工夫による高速化 しかし、これら3つは独立ではなく、互いに影響しあっているので完全に分けて考えることはできません。 それぞれがどのような部分に影響を与えているのか、ちゃんと理解してチューニングすることが大事です。 ただし、高速化するときに忘れていけないのが、高可用性です。 いくら高速に動作しても安定して動作し
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
新卒インフラエンジニア2年目