JSON SQL Injection、PHPならJSONなしでもできるよ
DeNAの奥さんと、はるぷさんがJSON SQL Injectionについて公表されています。 The JSON SQL Injection Vulnerability 不正なJSONデータによるSQL Injectionへの対策について (Json.pm+SQLクエリビルダー) 上記の記事は、主にPerlスクリプトがJSONデータを受け取るシナリオで説明されています。もちろん、この組み合わせに限定したはなしではないわけで、それではPHPではどうだろうと思い調べてみました。 JSON SQL Injectionとは 以下、はるぷさんの「不正なJSONデータによる…」にしたがってJSON SQL Injectionについて説明します。 Perl向けのSQLジェネレータの一つであるSQL::Makerにおいて、以下のスクリプトを想定します。 my ($sql, @bind) = $builde
PHPのクエリパラメーターの扱い方について - Unknown::Programming
3年ぶりの更新というわけで、まさしく3年寝太郎状態なわけですが。 今日は今巷を賑わせているJSON SQL Injectionについてです。 DeNA Engineers' Blog [ Technology of DeNA ] JSON SQL Injection、PHPならJSONなしでもできるよ | 徳丸浩の日記 徳丸さんの記事で紹介されていたように、僕が作ったSQL_Abstractでも同様の問題が発生するとのことです。 SQL::Makerのようにstrictモードを導入するかどうかも一応考えたのですが、PHP版SQL_Abstract自体PHP5でも動作はしますがPHP4時代のコードですし、そもそもそんなに使われてないだろう(泣)いうことで今回は見送ることにしました。(ちょっと今すぐ時間が取れないという状況もありまして・・・) またstrictモードを導入したとしてもSQL_A
Private Presentation
Private content!This content has been marked as private by the uploader.
uopz 拡張で DI っぽいことしてみる - ngyukiの日記
opcache のオプションを確認するために PHP のマニュアルを見ていたら uopz という面白そうな拡張を見つけたので試してみました。 PHP: uopz - Manual PECL :: Package :: uopz krakjoe/uopz インストール Linux な人は pecl でインストールできます。 $ pecl install uopz Windows な人はビルド済バイナリがあるので、自分の環境の PHP に合ったものをダウンロードしてください。 windows.php.net - /downloads/pecl/releases/uopz/ インストールが済んだら php.ini などで拡張モジュールをロードします。 zend_extension = uopz.so uopz.overloads = 1 README.md によると、opcache よりも先にロ
WEBアプリケーションフレームワーク(主にPHP)のルーティング処理について (never まとめ) - Feelin' Kinda Strange
とくにまとめられてないメモ書きです。とくに主張とか結論はないです。(あ、Hello Worldベンチマーク?プギャーm9(^Д^) は言わずもがなです ) 前提:主にPHPではURLとアクションのマッピングについて上から順に以下のような変遷をたどってると思います(そうじゃないって突っ込みはいっぱいあるでしょうが) オールドスクール /foo/module.php?key=var 命名規則型 /controller/action/ => class Acontroller { function action(){ $parameter = func_get_args(); }} 宣言型 $router->add('/controller/action/{:param}', $actionName) ・命名規則型がやっかいな一例はこういう所です <?php class PostControll
はてなブログ編集画面JSのページャ見どころ紹介 #pagernight - hitode909の日記
昨日,ページャNightという勉強会で,はてなブログのJSの見どころを紹介するLTをした.(昨日の日記). 資料公開しようかと思ったのだけど,発表資料そのまま公開しても意味不明なので,エントリに書き直すことにした. たとえば,このLGTM画像は発表資料の1枚目で,もし発表資料をそのまま公開したら,こういう謎の画像を解説もないまま見ることになっていたはず. JSのページャいっぱいある はてなブログの編集画面には編集サイドバーというのがあって,写真とかAmazon検索とかTwitterとかinstagramとかあれこれ貼れるようになってる. Amazon検索しても画面遷移するわけじゃなくて,ウェブ2.0という感じで,XHRでJSONを取ってきて,HTMLを組み立てて表示,クリックすると選択,貼り付けを押すとエディタに挿入される,という仕組み. 編集サイドバーから貼れるサービスは10種類くらいあ
ページャNight 1ページ目という勉強会やりました - その手の平は尻もつかめるさ
そういえば昨日「ピクシブ株式会社」って言おうとして3回くらい噛んだ気がする— プリントゴッコ (@moznion) 2014, 7月 5 ページャNight,僕が当初想定していたよりも1000倍位有益な会になって本当に嬉しかったです.あとで記事等書きます.— プリントゴッコ (@moznion) 2014, 7月 5 録画したustの様子はこちら http://www.ustream.tv/recorded/49544381 ページャNight <[1]> on Zusaarというイベントを開催致しました. 実に冗談みたいな理由から興ったイベントでしたが,ページャ (ページネーション) というWebサービスの1コンポーネントに焦点を絞った非常に濃厚かつ興味深いトークの数々を聞くことができて,非常に良い勉強会になったと思います. 以下,発表の一覧です. 15分トーク @mizchiさん お前
input type = password autocomplete = off は使ってはいけない
従来のWebアプリケーションとSPAの違いに着目し、Spring Boot × Vue.jsでSPAを作る際のポイントやハマりどころを紹介します。
評価制度の無い評価制度
概要 定期的に更新している 自分が経営している会社で採用している評価制度を運営してそろそろ 10 年になる。 タイトルは従業員にこの評価制度の話を聞いたときに「うちは評価制度が無いという評価制度の会社だと思っています」という話をされて、上手く表現してると感じたので使わせて貰った。 評価制度が無いということの考えも書くが、あくまで運用した経験ベースで書いてある。 注意 評価制度は状況や環境により変えていく必要がある。 この評価制度は 現在の時雨堂に対して適用している評価制度 である。 この制度は時雨堂が前提なので、銀の弾丸では無い。時雨堂でうまくいくから他社でうまく行くわけでは無い。 個々の会社に合わせた評価制度がそれぞれあるべきで、どれが一番とかは無いはずだ。 前提 時雨堂 では評価制度が無い。つまり従業員の給与は全員同一である。 これは職業関係なく技術と総務、全て同じ金額である。 また、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
地元にいられる人と、東京にしかいられない人 - さまざまなめりっと
Pager Anti Pattern(Joke)
