第7回 いまさらながらクロスサイトスクリプティングの基礎の基礎 | gihyo.jp
今回はWebアプリケーションを作ったことがない方でも分かるようクロスサイトスクリプティング脆弱性を解説します。 クロスサイトスクリプティングとは? 初めてクロスサイトスクリプティングと聞いて、どのような問題なのかすぐに理解できる人はいないと思います。サイトAに記述されたJavaScriptプログラムがサイトB上で実行されるために発生することが問題とされたので、「サイト間をまたがるスクリプトの実行」問題として、クロスサイトスクリプティング(XSS)と名前が付けられました。この命名では直感的に分かりづらい、サイト間にまたがらずHTMLメールなどにJavaScriptを挿入する攻撃でも同じ効果が得られることから、「JavaScriptインジェクション」とも呼ばれるようになっています。 図1 簡単なクロスサイトスクリプティング 例1 簡単な直接攻撃 掲示板サイトに投稿されたデータをエスケープ処
PHPでファイルのZIP圧縮をする際に便利に使えるクラスライブラリ:phpspot開発日誌
Tutorial: Create a zip file from folders on the fly - Web Development Blog For a future project I needed these days some easy to use zip or gzip class to create a zip file from files / folders inside a specified directory. PHPでファイルのZIP圧縮をする際に便利に使えるクラスライブラリ。 次のように、圧縮対象のディレクトリや、複数ファイルをアーカイブに登録するためのメソッドが用意されています。 $createZip = new createDirZip; $createZip->addDirectory(‘themes/’); $createZip->get_file
phpspotの人は正規表現について語らないほうがいいのでは | 秋元@サイボウズラボ・プログラマー・ブログ
「実用的なPHP用の正規表現x8」というphpspot開発日誌という記事で、 8 Practical PHP Regular Expressions – Web devlopment blogという、今日del.icio.us/popularに出ていた記事の紹介がされている。このサイトの記事はいつもそうだけど、はてなブックマークでも人気で、既に50名を越えるユーザにブックマークされているようだ。 1 メールアドレスチェック $string = "first.last@domain.co.uk"; if (preg_match( '/^[^0-9][a-zA-Z0-9_]+([.][a-zA-Z0-9_]+)*[@][a-zA-Z0-9_]+([.][a-zA-Z0-9_]+)*[.][a-zA-Z]{2,4}$/', $string)) { echo "example 3 successf
第11回 スクリプトインジェクションを防ぐ10のTips | gihyo.jp
前回はスクリプトインジェクションがなくならない理由を紹介しました。それをふまえて今回はスクリプトインジェクションを防ぐ10のTipsを紹介します。 デフォルト文字エンコーディングを指定 php.iniには、PHPが生成した出力の文字エンコーディングをHTTPヘッダで指定するdefault_charsetオプションがあります。文字エンコーディングは必ずHTTPヘッダレベルで指定しなければなりません。しかし、デフォルト設定ではdefault_charsetが空の状態で、アプリケーションで設定しなければ、HTTPヘッダでは文字エンコーディングが指定されない状態になります。 HTTPヘッダで文字エンコーディングを指定しない場合、スクリプトインジェクションに脆弱になる場合あるので、default_charsetには“UTF-8”を指定することをお勧めします。サイトによってはSJIS、EUC-JP
PHPでATOM、RSS1/2フォーマットのフィードが超簡単に吐き出せる「FeedWriter.php」:phpspot開発日誌
PHPでATOM、RSS1/2フォーマットのフィードが超簡単に吐き出せる「FeedWriter.php」 2008年03月12日- PHP Universal Feed Generator (supports RSS 1.0, RSS 2.0 and ATOM) | ajaXray It’s been a while since I’ve planned on developing a feed generator that fulfills most my needs by supporting the various feed formats. PHPでATOM、RSS1/2フォーマットのフィードが超簡単に吐き出せる「FeedWriter.php」。 RSS1や2、ATOMのフォーマットを理解して出力するのは面倒ですね。 このライブラリを使えば、RSS1/2もATOMも、クラスを作成す
PHPのmagic_quoteって、セキュリティ対策のために産まれたわけじゃないだろ?と思ってた。 - tohokuaikiのチラシの裏
F's Garage @fshin2000 :magic_quotesを有害認定したのは間違いじゃなかろうか。 magic_quoteがダメなのは、セキュリティ対策として機能が足りないのであって、magic_qouteを使うとセキュリティ意識が思考停止するからと完全否定した結果として、今の状況があるのかもしれない。 ちがうよ。単にmagic_quote=addslashesが使えない関数だからだよ。addslashesはDB用に作ったけど、そんなの各DBの仕様にあわせなきゃダメに決まってるじゃん。使える関数になるわけじゃないじゃん。まぁ、負の遺産。こんなんを自動FILTERでデフォルトONにするPHPがクソと言われれば「はいそうですね」って感じだけど。 それより、自分は セキュリティ対策として機能が足りないのであって に「えぇー!?PHPのmagic_quoteってセキュリティ対策のために
PHP: マジッククオートを無効にする - Manual
このディレクティブをphp.iniで Off にする 例を示します。 より詳細については、 設定を変更する方法というタイトルのマニュアルのセクションを 参照してください。 ; Magic quotes ; ; Magic quotes for incoming GET/POST/Cookie data. magic_quotes_gpc = Off ; Magic quotes for runtime-generated data, e.g. data from SQL, from exec(), etc. magic_quotes_runtime = Off ; Use Sybase-style magic quotes (escape ' with '' instead of \'). magic_quotes_sybase = Off
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
株式会社 社会式株 PHPコーディング規約
http://nyx.pu1.net/practice/form/form2.php