2019/01 JSUG勉強会の資料です。 この資料でDisっているのはJPAではなく、 ・何も考えずに「標準だから」というだけでJPAを選ぶ人 ・OSSに全くコントリビュートせずにフリーライドする人 です。
文字コードの脆弱性はこの3年間でどの程度対策されたか?
2019/01 JSUG勉強会の資料です。 この資料でDisっているのはJPAではなく、 ・何も考えずに「標準だから」というだけでJPAを選ぶ人 ・OSSに全くコントリビュートせずにフリーライドする人 です。
PHPの内部エンコーディングでUTF-8を使う | Let's POSTGRES
日本語などASCII以外の文字集合を使う場合は、そのシステムでどの文字セットをメインに使用するか、ということが最初に決めるべき事項の1つです。代表的なものにShift_JIS(SJIS、SJIS-win)、EUC-JP(eucJP-win)、UTF-8、UTF-16などがあります。 ただShift_JISなど、バックスラッシュ(≒エスケープ記号)が通常の文字の2バイト目として含まれてれる可能性のある文字エンコーディングでは、正規表現関数(preg_*** あるいは eregなど)や、マルチバイト文字列関数(mb_***)などの関数が正しく動かないケースや、各種エスケープ処理が意図した通りには動作してくれないことが多々あります。 また、PHPの内部エンコーディングをPostgreSQLで使用する文字セットと揃えておくことで、変換にかかるサーバ上のコストや変換で生じる脆弱性を低減することができ
波ダッシュ対策 - ここにおいておくね.php>(´・▽・`)
1:16 PM Jul 29th TwitterFoxで - 波ダッシュ対策たぶんこれで全部→ 波ダッシュを全角チルダ(〜)へ変換 全角マイナス記号(−)の変換 双柱・平行記号(‖)の変換 セント記号(¢)の変換 ポンド記号(£)の変換 否定記号(¬)の変換 <?php $utf_escape_patterns =array( // 波ダッシュを全角チルダ(〜)へ変換 '/\xE3\x80\x9C/' =>"\xEF\xBD\x9E", // 全角マイナス記号(−)の変換 '/\xE2\x88\x92/' =>"\xEF\xBC\x8D", // 双柱・平行記号(‖)の変換 '/\xE2\x80\x96/' =>"\xE2\x88\xA5", // セント記号(¢)の変換 '/\xC2\xA2/' =>"\xEF\xBF\xA0", // ポンド記号(£)の変換 '/\xC2\xA3/'
文字コードに起因する脆弱性とその対策
4. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • その他 – 1990年にPascalコンパイラをCabezonを開発、オープンソースで公開 「大学時代のPascal演習がCabezonでした」という方にお目にかかること
MySQL 文字化けを防ぐ、文字コードの確認と設定
MySQL 文字化けを防ぐ、文字コードの確認と設定 2007.01.15 MySQL 文字化けを防ぐために、文字コードの確認と設定を行う。 ■現在の文字コードの設定を調べる mysql> show variables like 'character_set%'; または、 mysql> status ■データベースの文字コード設定を調べる データベースごとに文字コードを設定できるので、現在の文字コードを調べる。 (テーブルごとではなく、データベースごと) mysql> show create database データベース名; 文字コードを指定してデータベースを作るには、 mysql> create databaase xxxdb default character set utf8; ■テーブルの文字コード設定を調べる テーブルごとに文字コードを設定できるので、現在の文字コードを調べる。
[PHP4]phpの文字化けとphp.iniの設定
output_buffering = On output_handler = mb_output_handler magic_quotes_gpc = Off default_charset = Shift_JIS [mbstring] mbstring.language = Japanese mbstring.internal_encoding = EUC-JP mbstring.http_input = auto mbstring.http_output = SJIS mbstring.encoding_translation = On mbstring.detect_order = auto mbstring.substitute_character = none output_buffering = Off magic_quotes_gpc = Off default_charse
[php] mb_convert_encoding と UTF-8 の誤変換問題(株式会社コネクティボしゃいん☆のブログ)
このような誤変換を防ぐための一つの手法としてよく挙げられているのが、「sjis-win」または「eucjp-win」というエンコーディングを使って回避する方法である。 $s_in = "~"; $s_out = mb_convert_encoding( mb_convert_encoding( $s_in, "sjis-win", "UTF-8" ), "UTF-8", "sjis-win" ); echo ($s_in == $s_out) ? "OK" : "NG"; 表示結果: OK このようにすると、上記表に挙げた文字を mb_convert_encoding を使って変換しても、正しく元に戻すことができる。 「sjis-win」または「eucjp-win」を使えば解決?と思いきや、逆も真なりとはこのことかと思うような問題も存在する。たとえば、 $s_in = "〜"; $s_ou
![[php] mb_convert_encoding と UTF-8 の誤変換問題(株式会社コネクティボしゃいん☆のブログ)](https://cdn-ak-scissors.b.st-hatena.com/image/square/386e571ff1c466762059b21b6324a144c69f2922/height=288;version=1;width=512/http%3A%2F%2Fshain.blog.conextivo.com%2Fimg%2Fshainblog_mark_base.jpg)
新常用漢字表が迫るUnicode移行、「シフトJIS」では対応不可能 | 日経 xTECH(クロステック)
普段使用する漢字の指針となる「常用漢字表」が、2010年度にも改正される。新たに追加される196文字の中に、文字コード「シフトJIS」にない漢字が含まれているため、情報システムに大きな影響を与えそうだ。最新のJIS規格「JIS X 0213:2004」の改正に委員としてかかわった京都大学人文科学研究所附属東アジア人文情報学研究センターの安岡孝一准教授が、問題の核心を解説する。 (日経コンピュータ) 2009年11月10日、文部科学省の「文化審議会国語分科会」において、常用漢字表の改正案が承認された。現行の常用漢字表にある1945字から「銑」「錘」「勺」「匁」「脹」の5字を削除し、新たに196字を追加する改正案で、2010年度の内閣告示を目指している。 新しい常用漢字表が告示されると、「シフトJIS」や「EUC-JP」といった従来からある文字コードを使用するシステムで大きな問題が生じ
symfony × MySQL × Shift_JIS: 0×5c関連
symfonyでアプリケーションを作成していた際に、文字コード絡みで面白い事象に遭遇したので記事にすることにしたw 携帯用のWebアプリケーションを作っていたのだが、 Webサーバ側での出力データの文字コードをShift_JISに統一するため、 以下のように全ての文字コードをShift_JIS/cp932に統一して実験してみた。 MySQL(my.cnf) [client] default-character-set=cp932 [mysqld] default-character-set=cp932 現在の設定状況を確認。 mysql> show variables like 'character_set%'; +--------------------------+----------------------------+ | Variable_name | Value | +-
Live Nude Cams 😍 - Ooh Cams
Live nude webcam chat IntroductionLive nude webcam chat has become increasingly popular as a form of online entertainment and communication. This unique platform allows individuals to connect with models in real-time, engaging in intimate experiences through video chat. With the advancements in technology and the widespread availability of high-speed internet connections, live nude webcam chat has
PHP以外では: 既にあたり前になりつつある文字エンコーディングバリデーション - 徳丸浩の日記(2009-09-14)
_既にあたり前になりつつある文字エンコーディングバリデーション 大垣靖男さんの日記「何故かあたり前にならない文字エンコーディングバリデーション」に端を発して、入力データなどの文字エンコーディングの妥当性チェックをどう行うかが議論になっています。チェック自体が必要であることは皆さん同意のようですが、 チェック担当はアプリケーションか、基盤ソフト(言語、フレームワークなど)か 入力・処理・出力のどこでチェックするのか という点で、さまざまな意見が寄せられています。大垣さん自身は、アプリケーションが入力時点でチェックすべきと主張されています。これに対して、いや基盤ソフトでチェックすべきだとか、文字列を「使うとき」にチェックすべきだという意見が出ています。 たとえば、id:ikepyonの日記「[セキュリティ]何故かあたり前にならない文字エンコーディングバリデーション」では、このチェックは基盤ソフ
UTF-8の冗長なエンコードとは何で、なんでそれがセキュリティ的に危ないのか?を文字コード知識レヴェル3くらいの凡プログラマが考えてみる - tohokuaikiのチラシの裏
何故かあたり前にならない文字エンコーディングバリデーション | yohgaki's blog ってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。 SJISの問題は、(2/3)SQLインジェクションを根絶!セキュア開発の極意 - 第5回■注目される文字コードのセキュリティ問題:ITproの記事がわかりやすかった。 というか、やっぱりPHP使ってると誰でも一度は「なんじゃこの『¥』は?」って思うもんなんで。 なるほど、確かに↓の図のように「あるバイト」が2つの意味を持つっていう文字コード形態はやばいんだなと。 EUC-JPはそんなことはしないで、1つのバイトには1つの意味しか取らせない。 だけど、これでも文字化けが起こることがある。経験的には、「マルチバイトをXX文字で切り落としたい」とかやった場合。ちゃんと文字コードを判定してくれるPHPでいえばmb_subst
ke-tai.org > Blog Archive > 携帯サイトでSmartyを使う場合の注意点
携帯サイトでSmartyを使う場合の注意点 Tweet 2008/2/12 火曜日 matsui Posted in PHP | 1 Comment » 「ケータイサイトにSmartyを使おうとしたがうまくいかない」という質問をよく受けることがあるので、注意点をまとめてみます。 問題となるのは、文字コードに「Shift_JIS」を使った場合です。 最近は対応端末が増えたため、UTF-8でページを作る場合も多いですが、過去の資産やら、互換性の問題やらでShift_JISを使うこともあります。 ところがSmartyではSJISは使えません。 なぜなら、Smartyの標準のデリミタである 「 { 」 (0x007b)、 「 } 」 (0x007d) を、SJIS文字列が含んでしまっていることがあるからです。 (つまり必ずしもエラーにはならないことに注意が必要です) エラーが起こった場合には次の
PHPと日本語 - ぱんぴーまっしぐら
Don't let me cry(右手を回して拳のつきあげ) Don't let me sigh( 左手を回して拳のつきあげ)呪文のように唱えて(両手を頭の上でクラップジャンプ) PHPで日本語を利用する際のphp.iniの設定やはまりごとなど。 ■導入時 ○必須オプション --enable-mbstring マルチバイト文字列関数(mb_〜)を利用できるようになります。 これがないと話になりません。 ○推奨オプション --enable-zend-multibyte このオプションはスクリプトをShift_JISで記述する場合問題となる2バイト目が0x5C等に成りうることによる問題を回避できます。 echo "Oh!能"; 本家で取得できるWindowsバイナリはこちらのオプションを利用していませんので気をつけてください。 ■mbstringで設定できるエンコード名
[MySQLウォッチ]第36回 文字化けのメカニズム
文字コードの多様化とインターネットやクライアント-サーバーなどの分散環境の普及によって,文字化けトラブルの頻度が飛躍的に拡大した。特に Webシステムでは,WebブラウザとWebサーバー,プログラム(スクリプト)言語,そしてデータベースと文字化けが発生する要因が数多く存在する。 Webサーバー側の文字化けは,他のコラムにお任せすることとして,今回はMySQLの文字化けに関して解説する。 文字化けの仕組み 文字化けは開発者にとって悩みの種である。しかし,文字化けの仕組みを少しでも知っていれば,意外と簡単に解決できるものだ。このコラムで,ぜひその知識を学んでほしい。 MySQL 4.1の変更点 さて,MySQLにおいては,バージョン4.1のリリースを境に文字化けが起きることが非常に多くなった。では,バージョン4.1は,それ以前のバージョンと何が変わったのだろうか。そこに文字化けを解決するヒント
[PHP-users 1634] Re: addslashes関数でエンコード
php-users@php.gr.jp php-users@php.gr.jp Wed, 29 Aug 2001 03:19:52 +0900 前の記事: [PHP-users 1632] \の扱い (was Re: addslashes関数でエンコード) 次の記事: [PHP-users 1567] PostgreSQL事例紹介セミナー( 9/14( 金) in Tokyo ) 目次の順: [ 日付 ] [ スレッド ] [ 件名 ] [ 発信者 ] たけです。 佐川さん、たびたびご教授ありがとうございます。 まとめてみました。 <内部コードがSJISで、magic_quotes_gpc=offの場合> データーベースにクエリ文を送る場合、変数に対しaddslashesでエンコードが必要だが、 ―⊇そソЫ綾噂化浬棺欺興圭現構砂蚕悉十晶申製曾遜箪捗貼峠能判表塀暴冥予僚禄 の文字に関しては、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.multiburst.net/project-multiburst/archives/2006/01/26/2308.php
akijapan.com
文字コードに関する設定
IDEA * IDEA
