PHPマニュアルの校正 - Do You PHP はてブロ
「ドキュメントの校正」って、書籍や雑誌の執筆もOSSのマニュアルも変わらないんですよね。。。 やはり何とかして目玉を増やさないといけませんね。こんなの、別に英語がわからなくても見つけられるモノだし。 ひょっとすると書く時よりも大変。ホントに「find a needle in a haystack」。 PHPマニュアルを読んでる人はかなりの数いると思うし、typoや変な訳にに気づいている人も結構いるハズなんですよね。ただ、それがフィードバックされてない状態という感じがしますね。どうフィードバックすればいいか、まだまだ周知されていないのかなぁ。それとも「コミュニティに還元する」というモチベーションの方なのかなぁ。 今現在、PHP/PEARマニュアルはほとんどのページが訳されていて、ほぼ最新版を保ってますが、これってすごいことだと思うんですよ。あーだこーだ言われるPHPですが、これは間違いなくふ
ハタさんのブログ : Acceptance Testしようぜ!!のplugin sfPHPFitPluginを公開しました。
lets Acceptance testing for your symfony apps ref - symfony | Web PHP Framework | Plugins | sfPHPFitPlugin | 0.0.2 sfPHPFitPlugin は FIT を利用することで、Acceptance Test の実行環境を提供します。 それは、symfony apps との連携も容易に行います。 Acceptance test を導入する事で、あなたの symfony application は受け入れに対するテストを容易にします。 FIT は PHPFit を利用しています。 PHPFit については: BerliOS Developer: Project Info - PHPFIT を参照してください また、この plugin は FIT-style のテストケースを
symfonyで学ぶMVCにのっとったリファクタリング入門
こんにちは。小川です。 本日はPHPユーザ会主催の設計勉強会が開催されていたのですが、応募期間に間に合わなかったので、鬱憤を晴らすためにブログを書いてみました。 1週間ほど前からsymfonyの公式ブログで、コントローラ(symfonyだとactions)にロジックを詰め込んでいるようなコードを、ストーリー形式でリファクタリングしていくという記事が5回に渡って紹介されていました。 symfony | Web PHP Framework | Blog Category | Call the expert こちらの「A refactoring story」というのがその記事になります。 僕が最初にMVCフレームワークを使ったときがそうだったのですが、MVCを理解していないとコントローラに全てのロジックを詰め込んでしまうようなコードを書いてしまいがちなのではないかと思います。皆さんはどうでしょう
リファクタリング - ぷぎがぽぎ
つい最近 本家のblogにsymfonyでのリファクタリング方法についての実例が5日間にわたって紹介されました。もちろんsymfonyを使っている方はもちろん参考になりますし、ファビアンが言いたいことなんかはsymfonyに関係なくリファクタリングのポイントでまとめられています。 ref: http://www.symfony-project.org/blog/2008/09/18/call-the-expert-a-refactoring-story-part-1-5 http://www.symfony-project.org/blog/2008/09/19/call-the-expert-a-refactoring-story-part-2-5 http://www.symfony-project.org/blog/2008/09/20/call-the-expert-a-refac
2008年に入って攻撃急増,原因は攻撃手順の自動化
2008年3月以降,「SQLインジェクション」という手法を使ったWebサイトの改ざんが相次いでいる。ラックのセキュリティ監視センター(JSOC)によると,ここ数カ月でSQLインジェクション攻撃の検知数が爆発的に増加し,8月には過去最高の17万件に達した。 多くのWebサイトでは,ユーザーの入力値などに応じて動的に表示を変える。Webサーバーはユーザーから受け取った入力値を,Webアプリケーションを通じてデータベースに引き渡す。データベースは,入力値に応じて必要な処理を実行し,その結果,得られた値をWebアプリケーションに戻す。Webアプリケーションはデータベースの出した値を反映したHTMLデータを生成し,Webサーバー経由でユーザーのWebブラウザに表示させる仕組みだ。 一連のSQLインジェクション攻撃では,攻撃者がWebサーバーへの入力値に不正なSQLを挿入することで,データベースを操作
RubyとPHP(仮) 基本的な違い(6)|株式会社 フラッツ
PHP5.3のSPLの新機能を試してみる 以前に、「RubyとPHP(仮) 基本的な違い(5)」で、SPLには、スタックやキュー、ヒープがあると説明しておりましたが、実際にはPHP5.3からの機能になります。現時点ではPHP5.3は開発中ですので、まだ現場では使えないかもしれませんが、先取りして、SPLの機能を触ってみたいと思います。 PHP5.3を試しに入れてみる まず、PHP5.3をインストールすなければ何も始まりませんので、自分の環境でPHPをコンパイルしてみました。 すでに、PHP5.2が動いている環境で、そちらには影響がないように、ローカルに導入してみました。 以下に簡単な手順をまとめます。 $ cd ~/ ホームへ移動 $ wget http://snaps.php.net/php5.3-200809260430.tar.gz php5.3のスナップショットを取得 $
SET NAMESは禁止
(Last Updated On: 2018年8月13日)MySQLには文字エンコーディングを変更する「SET NAMES」SQL文が用意されています。(PostgreSQLも同様のSQL文、SET CLIENT_ENCODINGがあります)この機能はSQLコンソールからは使ってよい機能ですが、アプリケーションからは使ってはならない機能です。SQLインジェクションに脆弱になる場合があります。 Ruby on Railsの本を読んでいて、ActiveRecordを説明している部分にMySQLの文字エンコーディングを変更する場合の例としてSET NAMESが利用されていました。アプリケーションからはSET NAMESは使ってはならない事を周知させるのは結構時間が必要かなと思いました。 PHPも5.2の途中からMySQLモジュールにlibmysqlの文字エンコーディング設定APIのラッパー関数が
[Think IT] 第2回:PHPのSQLインジェクションを実体験 (1/3)
【セキュリティ最前線】 セキュリティホールをついて遊ぶ 第2回:PHPのSQLインジェクションを実体験 著者:大垣 靖男 公開日:2008/1/18(金) PHPでSQLインジェクションを実体験 本記事では、セキュリティに対する課題を実体験していく。第2回となる今回は、いよいよ実際にテスト環境を構築し、攻撃を行う。標的となるのはWebシステムの開発で幅広く利用されている「PHP」だ。 PHP本体にはWebブラウザからの入力のデコード処理をはじめとして、Webシステム開発に必要不可欠な機能が組み込まれている。2008年1月3日に最後のPHP 4.x系のリリースとなる「PHP 4.4.8」がリリースされ、これ以降PHP 4.x系の開発は行われなくなった。現在はPHP 5.x系のPHP 5.2.5のみがPHPプロジェクトにより正式にサポートされている状態だ。 データベースサーバへのアクセスもWe
yohgaki's blog - これからのプログラムの作り方 - 文字エンコーディング検証は必須
(Last Updated On: 2016年3月3日)最近PostgreSQL、MySQL両方にSJISエンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要性」を提起した問題です。 参考:セキュアなアプリケーションのアーキテクチャ – sandbox化 PostgreSQL、MySQLの脆弱性は特にSJIS等、マルチバイト文字に\が含まれる文字エンコーディングが大きな影響を受けますが、同類の不正な文字エンコーディングを利用した攻撃方法が他の文字エンコーディングでも可能です。例えば、UTF-8エンコーディングは1文字を構成するバイト列の最初のバイトの何ビット目までが1であるか、を取得してUTF-8文字として1バイト~6バイト必要なのか
Live Nude Cams 😍 - Ooh Cams
Live nude webcam chat IntroductionLive nude webcam chat has become increasingly popular as a form of online entertainment and communication. This unique platform allows individuals to connect with models in real-time, engaging in intimate experiences through video chat. With the advancements in technology and the widespread availability of high-speed internet connections, live nude webcam chat has
SymfonyでIP制限するフィルター作りました - KAYAC Engineers' Blog
こんにちは。カヤックモバイル$のアラガです。 諸事情により.htaccessによるIP制限ができなかったので、symfonyでIP制限するフィルタを作りました。 携帯サイトのキャリア判別は、おなじみのNet_UserAgent_Mobileを使うと簡単ですが、ユーザーエージェントだけでは簡単に偽装できてしまうので、公式サイト等の場合は望ましくないです。 そこで、各キャリアから公開されているIPでも制限をかけます。.htaccessで良ければMobile IP htaccess Makerを使うのが簡単です。 しかし、リバースプロキシを使っていると、IPが経由サーバーのIPになってしまい、元のIPがX-Forwarded-Forに入ってしまいこの方法だとうまくいきません。(ということに気づきました) そこで制限したいIPを正規表現で書いて SetEnvIf X-Forwarded-For "
確認されているだけでも攻撃が毎分1.5件,PHPアプリ狙う攻撃が大量無差別型に
前回,SQLインジェクション攻撃の増加傾向を紹介した。そのほかにも日本IBMの東京セキュリティオペレーションセンター(以下,東京SOC)では,PHPで作成されたWebアプリケーションを狙った攻撃を大量に確認している。特に,リモート・ファイル・インクルード(RFI)攻撃は非常に多く,東京SOCでは1分当たり1.5件の頻度でRFI攻撃を検知している。これらは自動化された攻撃ツールによる大量無差別型の攻撃だと考えられる。今回は,現在のRFI攻撃の動向を紹介する。 RFI攻撃は,Webアプリケーションのぜい弱性を利用して標的とするサーバーに,外部のサーバーから悪意あるファイルを読み込ませる攻撃である。攻撃者は標的サーバー上で当該ファイルに記述された任意のコードを実行させる。
「PHP×携帯サイト デベロッパーズバイブル」@水無月ばけらのえび日記
うわさの「PHP×携帯サイト デベロッパーズバイブル (www.amazon.co.jp)」を軽く見ましたが……「ゆるいなぁ」、というのがひとまずの感想。 メモ的なコメントを順不同でだらだら列挙しておきます。 最初の1行掲示板のサンプルがいきなり脆弱。「完成版」になっても脆弱。「auではテキスト入力欄で改行が入力できる」という発想の仕方がどうも……。auに限らず、テキスト入力欄に限らず、改行が入力されることは常にあり得ると考えたほうが良いと思うわけで。Cache-ControlをHTTP応答ヘッダではなくmeta要素で指定。20世紀のフリーCGIみたい?Content-TypeをHTTP応答ヘッダとmeta要素の両方で指定する必要があるように読めますが、metaは不要なはず。しかも、何故かmetaにだけcharsetがついており、肝心な方についていないので、これをそのまま実装するとはせがわ
「PHP x 携帯サイト デベロッパーズバイブル」の脆弱性に関して
「PHP x 携帯サイト デベロッパーズバイブル」に書かれている内容について、 セキュリティの点について徳丸浩様のサイトでご指摘を頂きました。 ■徳丸浩の日記 - 書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性 http://www.tokumaru.org/d/20081014.html ご指摘の通り「PHP x 携帯サイト デベロッパーズバイブル」の7章のかんたんログインの部分で、携帯電話ではセッションIDを用いる方法と、個体識別番号を使った方法を記載しておりますが、セキュリティに関する記述に不備がありました。 7章にかいてある「かんたんログイン」に関する方法は、リクエストヘッダーなどを書き換えることにより、第三者がなりすましてログインされてしまう可能性があります。 そのため「かんたんログイン」を実装する際は、携帯キャリアゲートウェイのIPアドレスから来るアクセスのみに限定
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IBM Developer