PHPでランダムトークン - Qiita
トークンはユニークにしたい。(衝突は知らない・・・) トークンはURLセーフにしておいた方が良い。 トークン自体はユーザーに教えるために出力しないといけないので復号できなければならないので、DBに保存する際は暗号化。 セッションやKVSに一時的に保持するような長期間使わないようなもの(有効期限付きURLアクセスのトークンとか)は暗号化はしなくても良いと思う。 一度きりの画面表示の場合はハッシュ化したものを保存して付け合わせれば良いので暗号化は不要です。 $token = hash_hmac('sha1', uniqid(bin2hex(random_bytes(20))), 'key'); // ここで$tokenを暗号化して$encrypted_tokenを作る処理を記述 $token_pair['token'] = $token; $token_pair['encrypt_token'
phpでUUIDを作成する
2016年 5月4日 15時10分 7年前 phpでUUID ( Universally Unique Identifier )を生成出来るライブラリの紹介です。 UUIDとはなんでしょうか? 簡単に言えば理論上絶対に重複しない世界に1つだけの文字列(数値)です。UUIDは128bitの長さ(39桁)を持っていますが、実際には16進数で表されたりしています。 # こんな感じのフォーマットです 123e4567-e89b-12d3-a456-426655440000 「UUIDはどこで使われてるの?」っと気になるところですが、身近なところではLinuxのイーサーネットの認識別や少しフォーマットは変わりますがMACアドレスとして使われたりしています (GUID)、後はブログやニュースサイトの更新を通知するATOM feed ( RSSのようなもの ) なんかにも使われています。 っということで
PHPでのSQLインジェクション対策 - プレースホルダ編 | Let's POSTGRES
第四企画 坂井 潔 SQLインジェクションの脅威からシステムを守るために、プログラミング言語/スクリプトからSQLを発行するときには、パラメータを適切に処理しなくてはなりません。今回はプレースホルダ編と題し、SQLインジェクション対策として最も簡単で効果的な方法を、PHPで説明します。 SQLインジェクションとは? まず「SQLインジェクション」とは何かおさらいしましょう。SQLインジェクションとは、アプリケーション(この場合はPHPスクリプト)に渡すパラメータの値を操作することで、元々は意図されていない処理をSQLとして実行させてしまうことです。 簡単な例をあげてみます。ユーザーから文字列「山田」が渡されたとき、以下のようなSELECT文を発行することにします。 SELECT * FROM users WHERE username LIKE '%山田太郎%'; ユーザーに入力された文字列
TCPDFでセキュリティー設定をしたPDFを作る – 大阪のシステム開発・WEBシステム開発会社技術担当スタッフの覚書き、子だぬきの技術習得ノート
印刷禁止、文字等コピー禁止、編集禁止、パスワード // PDFオブジェクト作成 $pdf = new TCPDF(PDF_PAGE_ORIENTATION, PDF_UNIT, PDF_PAGE_FORMAT, true, 'UTF-8', false); // 第1引数 // print:印刷禁止 // copy:文字等コピー禁止 // modify:編集禁止 // 第2引数 閲覧パスワード // 第3引数 セキュリティ変更パスワード(引数なしはランダムパスワード) $pdf->SetProtection(array('print', 'copy', 'modify'), 'password', 'password2'); // フォント設定 $pdf->SetFont('arialunicid0', '', 16); // 新規ページ作成 $pdf->AddPage(); // 文字表
CakePHP Security コンポーネントのまとめ | Sun Limited Mt.
トークンが一致しないと SecurityComponent の blackHole メソッドが実行されます。このメソッドでは header('HTTP/1.0 404 Not Found'); を出力して exit します。(画面は空白) 任意の処理を実行したい場合は blackHoleCallback でコールバック関数を指定します。 設定できるのは同じコントローラ内のアクションのみになります。 function beforeFilter() { $this->Security->blackHoleCallback = "securityError"; $this->Security->requireAuth('login'); } function securityError() { die("security error!"); } トークンチェックをするアクションを複数指定するとき
PHPのbasename関数でマルチバイトのファイル名を用いる場合の注意
まずは以下のサンプルをご覧ください。サーバーはWindowsで、内部・外部の文字エンコーディングはUTF-8です。UTF-8のファイル名を外部から受け取り、Windowsなのでファイル名をShift_JISに変換してファイルを読み込んでいます。basename関数を通すことにより、ディレクトリトラバーサル対策を施しています。 <?php header('Content-Type: text/plain; charset=UTF-8'); $file_utf8 = basename($_GET['file']); $file_sjis = mb_convert_encoding($file_utf8, 'cp932', 'UTF-8'); $path = './data/' . $file_sjis; var_dump($path); readfile($path); しかし、ディレクトリト
CakePHP セキュリティ対策について考える(SQLインジェクション、XSS、CSRF) | hijiriworld Web
Posted on: 2011/11/18 CakePHP セキュリティ対策について考える(SQLインジェクション、XSS、CSRF) 概要 SQLを使って不正にデータベースを操作する攻撃 攻撃例 ユーザー名とパスワードを入力してログインする処理があるとする。 username と password の組み合わせが、データベースのものと一致すれば認証するという仕組みだとする。 SELECT * FROM users WHERE username='$username' AND password='$password' ここで、($username: admin, $password: ' OR 'a'='a)と入力すると、SQLは以下のようになる。 SELECT * FROM users WHERE username='admin' AND password='' OR 'a'='a' こ
セキュリティ - 2.x
セキュリティ¶ class SecurityComponent(ComponentCollection $collection, array $settings = array())¶ Security コンポーネントを使うと、アプリケーションにさらに堅牢なセキュリティを導入できます。 このコンポーネントは、以下の様々なタスクのためのメソッドを提供します。 アプリケーションが受け付ける HTTP メソッドの限定 CSRF 防御 フォーム改ざん防止 SSL の利用を要求 コントローラ間の通信制限 全てのコンポーネントと同様に、いくつかの設定できるパラメータがあり、 これら全てのプロパティは、直接設定したり、コントローラの beforeFilter の中で、 プロパティと同じ名前のセッターメソッドで設定できます。 Security コンポーネントを使用することで、自動的に CSRF とフォーム
Security - 2.x
This document is for a version of CakePHP that is no longer supported. Please upgrade to a newer release!
PHP 値の受け渡しで気をつけること。 | テクニカルノート
$_GET、$_POST、$_COOKIE の値の受け取りは、セキュリティ上気をつけないといけないですが、 毎回コードを書くのも面倒なので。 class common{ public static function getGET($name){ $ret = filter_input(INPUT_GET, $name); if (isset($ret)){ $ret =str_replace("\0", "", $ret);//Nullバイト攻撃対策 return htmlspecialchars($ret, ENT_QUOTES, 'UTF-8'); } return ''; } public static function getPost($name){ $ret = filter_input(INPUT_POST, $name); if (isset($ret)){ $ret =st
シンプルに設置できる数字Captcha「MathCaptcha」
スパム防止などで利用されているCaptchaですが、数字版で使えるものがないか探してみました。この「MathCapthca」は非常にシンプルに設置できます。 ダウンロードはこちらから。 MathCaptcha Component for CakePHP 2. 解凍したCaptchaComponent.phpをコンポーネントディレクトリに配置して下さい。 app/Controller/Component/CaptchaComponent.php Controller var $components = array('MathCaptcha'); // captcha表示 function mathcaptcha(){ $this->set('mathCaptcha', $this->MathCaptcha->generateEquation()); } // captchaチェック func
Captchaプラグイン「Captcha Component & Helper」
Captchaプラグインを実装してみました。 ダウンロードはこちら 解凍して、このようになるようにそのままappディレクトリ下に置いてください。 app/Controller/Component/CaptchaComponent.php app/View/Helper/AppHelper.php app/View/Helper/CaptchaHelper.php app/webroot/cakecaptcha (webrootに関してはインストール環境によると思いますので読み替えてください。) コントローラ (Controllers) public $components=array( 'Security', 'Captcha', ); public $helpers=array( 'Captcha'); public function captcha() { $this->Captcha
CakePHP2.0 SecurityComponentで二重送信防止 | junichi11.com
概要 SecurityComponentのCSRF対策の機能を使って、Formからの二重送信を防止することができます。 1.xのときに使ってみたことがありましたが、SecurityComponentは思ったように動いてくれなかったイメージがありました。 2.0でとりあえずもう一度使ってみようと思い、動かしてみたらいい感じでした。 環境 CakePHP2.0 Windows XAMPP 参考 CakePHP Documentation SecurityComponent CSRF (クロスサイト・リクエスト・フォージェリ) Controllerにコンポーネントを追加 black_holeでの処理 ※必ずFormHelperを使ってformを作成してください。 基本的にはSecurityComponentを$componentsに設定するだけでOKです。 $this->Security->bl
CakePHP2.xでSSL接続(https://)を強制させる | 14時の間食
利用するのはSecurityコンポーネント。 CakePHPにもともと備わっているコンポーネントなので他所からのDLなどは一切不要です。 コントローラーに数行記述するだけ。 このお手軽さ。まずは、SSL接続を強制したいアクションのあるコントローラーで、Securityコンポーネントの使用を宣言します。 public $components = array('Security'); beforeFilter内に以下の記述を追加します。 ここではif文を使い、アクションがindexの時のみSSL接続が強制されるように設定しています。 コントローラー内の全てのアクションにSSL接続を強制したい時はこのif文は取り払って下さい。 public function beforeFilter(){ //indexのみSSL接続を強制 if ($this->action === 'index') { $t
STEP2-7.CakePHPでログイン機能を書いてみる / チームラボ オンラインスキルアップ課題
STEP2-7.CakePHPでログイン機能を書いてみる ログイン機能をCakePHP式に書き直してみましょう。まずはUserモデルです。 <?php App::uses('AppModel', 'Model'); class User extends AppModel { //入力チェック機能 public $validate = array( 'username' => array( array( 'rule' => 'isUnique', //重複禁止 'message' => '既に使用されている名前です。' ), array( 'rule' => 'alphaNumeric', //半角英数字のみ 'message' => '名前は半角英数字にしてください。' ), array( 'rule' => array('between', 2, 32), //2~32文字 'messa
PHPでユニークなIDを生成する:uniqid() - kakakakakku blog
PHPでユニークな(一意な)IDを生成したい場合に「uniqid」という関数が利用できる. string uniqid ([ string $prefix [, bool $more_entropy ]] ) マイクロ秒単位の現在時刻にもとづいた、接頭辞つきの一意な ID を取得します。 PHP: uniqid - Manual $prefixなし $prefix(接頭辞)なしで利用すると,13文字の文字列が生成される. [例] 48f7146e6ea07 <?php echo uniqid(); echo uniqid(""); ?> $prefixあり $prefixに任意の文字列を指定すると,接頭辞の後に13文字の文字列が生成される [例] UNIQ_48f718480b738 <?php echo uniqid("UNIQ_"); ?> $prefixに乱数を指定する マイクロ秒単
PHPでのSQLインジェクション対策 - プレースホルダ編 | Let's POSTGRES
第四企画 坂井 潔 SQLインジェクションの脅威からシステムを守るために、プログラミング言語/スクリプトからSQLを発行するときには、パラメータを適切に処理しなくてはなりません。今回はプレースホルダ編と題し、SQLインジェクション対策として最も簡単で効果的な方法を、PHPで説明します。 SQLインジェクションとは? まず「SQLインジェクション」とは何かおさらいしましょう。SQLインジェクションとは、アプリケーション(この場合はPHPスクリプト)に渡すパラメータの値を操作することで、元々は意図されていない処理をSQLとして実行させてしまうことです。 簡単な例をあげてみます。ユーザーから文字列「山田」が渡されたとき、以下のようなSELECT文を発行することにします。 SELECT * FROM users WHERE username LIKE '%山田太郎%'; ユーザーに入力された文字列
ファイルアップロードの例外処理はこれぐらいしないと気が済まない - Qiita
【2021/10/15 追記】 この記事は更新が停止されています。現在では筆者の思想が変化している面もありますので,過去の記事として参考程度にご覧ください。 脆弱性について 参考リンク PHPにおけるファイルアップロードの脆弱性CVE-2011-2202 PHP 5.4.1リリースのポイント 上記に対する補足説明 PHP 5.4.1以降 PHP 5.3.11以降 どちらかを満たしているならば,脆弱性は(今のところ)無い.どちらも満たしていないと, $_FILES 変数の構造を崩す攻撃 ../ をファイル名に含めて送信する攻撃 (ディレクトリトラバーサル) の何れか,もしくは両方の脆弱性を所持していることになるので要注意. 脆弱性対策と注意事項 $_FILES Corruption 対策 改竄されたフォームからの複数ファイル配列送信対策 脆弱性が修正された環境でも 改竄フォーム対策 も兼ねて
数字6桁パスワードのハッシュ値の総当たり、PHPなら約0.25秒で終わるよ
JALの6桁数字パスワード問題から派生して、JALのサイトがパスワードリマインダとして「現在のパスワード」を教えてくれることから、JALサイトではパスワードを平文保存しているのではないかという疑惑が持ち上がっています。それに対して、「いやいや、従来の主流と思われるソルト付きMD5ハッシュでの保存しても、実用的な速度でハッシュ値から元パスワードを『解読』できるよ」と、JALを擁護(?)するエントリが現れました。 パスワード問合せシステムを作る (clojureのreducers) この記事では、最初Clojureによる単純な総当たりで36秒、Clojureのreducersによる並列化で11秒でハッシュ値から元パスワードが求められるよ、と説明されています。まことに痛快な記事ですので、未読の方には一読をお勧めします。 とはいうものの、100万件のMD5の総当たりが、逐次実行で36秒、並列化して
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
狠狠色噜噜狠狠狠狠97,你懂的在线视频,亚洲AV制服丝袜日韩高清