mumincacaoのブックマーク - はてなブックマーク

PHP5.3.6からPDOの文字エンコーディング指定が可能となったがWindows版では不具合（脆弱性）あり - 徳丸浩の日記(2011-03-22)

_PHP5.3.6からPDOの文字エンコーディング指定が可能となったがWindows版では不具合（脆弱性）あり PHP5.3.6からPDO/MySQLにてデータベースの接続文字列にて文字エンコーディングが指定可能となりました。この機能を検証した結果、Linux上では正常な動作を確認しました。Windows版でも一見動作するようですが、動的プレースホルダ内部のエスケープ処理に不備があり、Shift_JISでデータベースと接続している際にSQLインジェクション脆弱性の可能性があります。きっかけ @haruyamaさんのツイートがきっかけで、PHP5.3.6からPDOの文字エンコーディング指定が有効となったことを知りました。 PHP 5.3.6以降では PDO/MySQLのDSNでのcharset指定が有効になったようです. (MySQL 4.1.11以降, MySQL 5.0.7以降, もし

mumincacao 2011/03/23

PDO でも接続時に文字こーどの指定ができるようになったですか・・・本番さいとで PHP5.3 系使えるようになるまでに原因見つけて修正できるかなぁ？〆（ーｘ【みかん

リンク

徳丸浩の日記 - iモードブラウザ2.0のXMLHttpRequestでPOSTデータの扱いが困難になった

_iモードブラウザ2.0のXMLHttpRequestでPOSTデータの扱いが困難になったこのエントリでは、iモードブラウザ2.0の制限により、XMLHttpRequestでPOSTメソッドの利用が困難になっていることを確認したので報告する。 iモードブラウザ2.0のJavaScriptを試していて、POSTメソッドでデータが渡せていないことに気がついた。以下のようなプログラムで検証してみた。【post.html】 <html> <head> <script> function test() { try { var requester = new XMLHttpRequest(); requester.open('POST', '/dumppost.php', true); requester.onreadystatechange = function() { if (requeste

mumincacao 2010/01/19

予想通りけ～たいの JavaScript はまだまだ実用範囲外ってこｔ・・・っていうか Content-type: text/xml なのにどう見ても XML に見えないのは気のせい・・・にう？　〆（・ｘ・；【みかん

リンク

[Perl][PHP][SQL]: quoteメソッドの数値データ対応を検証する - 徳丸浩の日記(2009-10-19)

_quoteメソッドの数値データ対応を検証するこのエントリでは、PerlのDBI、PHPのPDO、MDB2にて用意されているquoteメソッドが数値データをどのように扱えるかを検証しました。結論としてMDB2が合格、それ以外は不合格で、とくにDBD::mysqlを使用した場合、脆弱性といってもよいような結果となりました。概要 DBI、PDO、MDB2は、いずれもデータベースアクセスを抽象化したモジュール(クラス)であり、汎用的な記述によりさまざまなデータベースを利用できるように工夫されています。これらモジュール(クラス)にはquoteというメソッドが用意されています。DBIのquoteメソッドの呼び出し例を示します。 my $dbh = DBI->connect('DBI:mysql:dbname:localhost', 'user', 'pass'); print $dbh->quo

mumincacao 2009/10/20

えぇぇぇぇぇ・・・　なにその型指定はできるけどすべて addslashes() しちゃいますみたいなどこかで見かけた仕様・・・　（´・ω・｀；【みかん

リンク

PHP以外では: 既にあたり前になりつつある文字エンコーディングバリデーション - 徳丸浩の日記(2009-09-14)

_既にあたり前になりつつある文字エンコーディングバリデーション大垣靖男さんの日記「何故かあたり前にならない文字エンコーディングバリデーション」に端を発して、入力データなどの文字エンコーディングの妥当性チェックをどう行うかが議論になっています。チェック自体が必要であることは皆さん同意のようですが、チェック担当はアプリケーションか、基盤ソフト（言語、フレームワークなど）か入力・処理・出力のどこでチェックするのかという点で、さまざまな意見が寄せられています。大垣さん自身は、アプリケーションが入力時点でチェックすべきと主張されています。これに対して、いや基盤ソフトでチェックすべきだとか、文字列を「使うとき」にチェックすべきだという意見が出ています。たとえば、id:ikepyonの日記「[セキュリティ]何故かあたり前にならない文字エンコーディングバリデーション」では、このチェックは基盤ソフ

mumincacao 2009/09/15

ふみゅ・・・　PHP するときはもうちょっとちゃんとしたりくえすと処理くらす創っておくと楽になるのかなぁ？　〆（・ｘ・。【みかん

リンク

i-mode2.0セキュリティの検討: 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 - 徳丸浩の日記(2009-08-05)

_携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログインの可能性について検討する。 5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高度化した機能の一部をご利用いただけなくなっていますが、再びご利用いただけるよう速やかに対処いたします」とあったが、それ以来2ヶ月以上が経つものの、未だにJavaScript機能は利用できない状態のままだ。実は、NTTドコモ社が慌てふためいてJavaScript機能を急遽停止

mumincacao 2009/08/06

XMLHttpRequest も使えるよってはじめてきいたときからちょっときけんなかおりがしてたけど・・・そういわれてみると setRequestHeader がの～が～どだとかなりきけんがあぶないにう（´・ω・｀；【みかん

リンク

はてなブックマーク

タグ

ブックマーク / www.tokumaru.org (5)

お知らせ

月間はてなブックマーク数ランキング（2024年10月）

今週のはてなブックマーク数ランキング（2024年10月第4週）

今週のはてなブックマーク数ランキング（2024年10月第3週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス