PHP 環境下で動作するWebアプリケーション / CMS に焦点を当て、日々新しく発見される脆弱性との向き合い方についてまとめました。
![PHP における脆弱性との向き合い方とその対策方法 | yamory Blog](https://cdn-ak-scissors.b.st-hatena.com/image/square/7e131cbe4630d8f03b6b1d1b29c3ff6f0c760868/height=288;version=1;width=512/https%3A%2F%2Fyamory.io%2Fblog%2Fimages%2Fposts%2Fthumbnail_php-vulnerabilities-and-keep-secure.png)
PHP 環境下で動作するWebアプリケーション / CMS に焦点を当て、日々新しく発見される脆弱性との向き合い方についてまとめました。
この記事はPHP Advent Calendar 2019の5日目の記事です。 はじめに 私は6年前に、PHP Advent Calendar 2013として「PHPだってシェル経由でないコマンド呼び出し機能が欲しい」という記事を書きました。その中で、OSコマンドインジェクション対策の根本的かつ安全な対策は「シェルを経由しないコマンド呼び出し」であることを指摘した上で、末尾に以下のように書きました。 PHPコミッタのみなさま、PHP5.6の新機能として、シェルを経由しないコマンド呼び出しの機能を追加できませんか? 現実には当時からPCNTL関数にてシェルを経由しないコマンド呼び出しはできたのですが、当関数の使用が難しいことと、CLI版あるいはCGI版(FastCGIは可)のPHPでないとサポートされていないなどの制限があり、popenやproc_openなど使いやすいコマンド呼び出し関数に
サイト閉鎖のお知らせ 平素より格別のお引き立てを賜り誠にありがとうございます。 Jトラストシステム(株)のサイトは2022年4月1日に閉鎖いたしました。 これまでご利用いただきました皆さまには、心より御礼申し上げます。
サマリ PHPサーバーサイドプログラミングパーフェクトマスターには、PHP入門書としては珍しくクロスサイト・リクエストフォージェリ(CSRF)対策についての説明があるが、その方法には問題がある。アルゴリズムとして問題があることに加えて、実装上の問題があり、そのままコピペして用いると脆弱性となる。 はじめに 古庄親方の以下のツイートを見て驚きました。 CSRF用のトークンの作成 $token = password_hash(mt_rand(), PASSWORD_DEFAULT); ってのを書籍で見た………もンのすンげぇなぁ(苦笑 書籍名でググって調べる……評判が悪いので、まぁ、納得っちゃぁ納得。 — がる (@gallu) July 17, 2019 CSRFトークンの生成に、password_hash関数を使うですと? 親方に書籍名を教えていただき、購入したのが、この記事で紹介する「PH
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く