ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2010年7月1日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生します。 追記(2011/06/19) ここに来て急にブクマが追加されはじめていますが、このエントリを書いてから状況が改善しています。PHP5.3.6(2011/03/17)にて、PDOでもデータベース接続の文字エンコーディングを指定できるようになりました。この版で、UNIX版のPHPでは解決しましたが、Win
Installing PHP 5.2.x or 5.3.x on RedHat ES5, CentOS 5, etc
Installing PHP 5.2.x or 5.3.x on RedHat ES5, CentOS 5, etc I’ve had to follow this tutorial a few times myself now so decided I should share it with the world. A few of our applications which make use of SOAP get a Segmentation Fault if run with PHP 5.1.x or lower. We believe this is due to a bug in PHP but can’t be sure, regardless it works fine in PHP 5.2.4 and above. Problem is, RedHat ES5 does
ゆーすけべー日記
サキとは彼女の自宅近く、湘南台駅前のスーパーマーケットで待ち合わせをした。彼女は自転車で後から追いつくと言い、僕は大きなコインパーキングへ車を停めた。煙草を一本吸ってからスーパーマーケットへ向かうと、ひっきりなしに主婦的な女性かおばあちゃんが入り口を出たり入ったりしていた。時刻は午後5時になる。時計から目を上げると、待たせちゃったわねと大して悪びれてない様子でサキが手ぶらでやってきた。 お礼に料理を作るとはいえ、サキの家には食材が十分足りていないらしく、こうしてスーパーマーケットに寄ることになった。サキは野菜コーナーから精肉コーナーまで、まるで優秀なカーナビに導かれるように無駄なく点検していった。欲しい食材があると、2秒間程度それらを凝視し、一度手に取ったじゃがいもやら豚肉やらを迷うことなく僕が持っているカゴに放り込んだ。最後にアルコール飲料が冷やされている棚の前へ行くと、私が飲むからとチ
SQL4GでGAE+PHPを体験しよう(1/3)- @IT
第2回 SQL4GでGAE+PHPを体験しよう 萩原 巧 リトルソフト株式会社 中越 智哉 株式会社ナレッジエックス 2010/2/22 Web アプリケーション開発者にとって、魅力的な環境に映るGoogle App Engineだが、データの永続化などで落とし穴が存在する。これまでの開発手法を変えずに使えないだろうか(編集部) 第1回「GAE上でLL+RDBアプリを作ろう」では、Google App Engine(GAE)環境上で、PHPやRails(Ruby)とリレーショナルデータベース(RDBMS)がシームレスに連携できることによる新しい可能性について言及してきました。 これまで、GAEでの開発では「リレーショナルデータベースは使えない」というのが常識であり、開発者はいかにして旧来のリレーショナルデータベース的なアプローチから、Key-Valueストアに適応したアプローチに設計を転換
Facebook製のPHP用シェル·phpsh MOONGIFT
phpshはPython製のオープンソース・ソフトウェア。PHPはWebシステム開発で手軽に使えて、小さな規模から大規模までこなせるプログラミング言語だ。時々槍玉にあがることはあるが、使い手次第といった所だろう。なにせ今やYahoo! Inc.すらも追い越そうという勢いのFacebookでも使われているのだ。 Pythonで実装されているのがミソ そんなFacebookではオープンソース・ソフトウェアを多数リリースしており、Apache Software Foundationのゴールドスポンサーにもなっている。そして新しくリリースされたソフトウェアがphpshだ。PHPではあるがソフトウェア自体はPythonで作られている。 phpshはPHP用のシェル環境だ。標準でもインタラクティブモードがあるが、それのFacebook版だ。予め--with-readlineのようなオプションを付けずに
Dotdeb – The extra repository for Debian servers
Dotdeb has provided packages for 17+ years, as useful additions to Debian releases, from Woody to Jessie. It all started when I was working for a Web-hosting company in France and when official backports did not exist or were not super active. I rapidly made it a personal project and I have taken great pride in publishing useful packages that have been deployed on thousands of machines over the ye
Akelos PHP Framework
Custom Software Development Hello! We are Alicia Sadurní and Bermi Ferrer. We have been creating online products and e-commerce platforms since we launched Bermi Labs in Barcelona back in 2008. Nowadays we focus on fighting phishing and fraud using AI and data analysis. Current Projects 2023-present Jack Henry - Banno via Signify Technology Building banking banking platforms and account takeover m
外注から内製へ。Perl/PHPエンジニアの需要高まる
平成の大不況の下、IT業界の転職市場は冷え込んでいる。だが、すべての企業が採用をやめたわけではなく、いつまでも採用が止まり続けるわけでもない。転職市場の動向を追い、来るべきときに備えよう。 昨年から続く景気の低迷は下げ止まりの様相を呈しながらも、いまだ回復には至っていない。しかし、7月に入ると、企業の採用活動がにわかに活気を帯びてきた。これまで採用活動を凍結していた企業の活動再開が見られ、大手SIer(システムインテグレータ)だけでなく、中小規模のSIerでも新規求人のニーズが発生した。とはいえ、依然として選考ハードルは高く、転職活動の長期化に苦しむ求職者が後を絶たない。 これまでに核となるスキルを磨き、順調にキャリアを積んできた人にとって、現在の転職市場は悲観するほど厳しいものではない。業界・業種による採用意欲の違いはあるものの、いかに自身のキャリア形成を考え、スキルを身に付けてきたかが
Webサービスの開発にフレームワークが必要な理由 ~Perl/Ruby/PHPユーザーのためのMVCフレームワーク入門~
はじめに 前回はRuby/PHP/Perl、それぞれの言語ごとにフレームワークとテンプレートエンジンについて比較を行いました。これにより、現在のWebアプリケーション開発に求められる仕組みを俯瞰できたと思います。 今回はこの比較を基に、Ruby on Railsのこれまでの動向を追いながら、『どのようなフレームワークが自分にふさわしいのか』を考えていくことにします。また、最後に前回の記事で掲載しきれなかった各言語のフレームワークを紹介します。 「Perl/Ruby/PHPユーザーのためのMVCフレームワーク入門」これまでの記事 第1回「効率的なWebアプリ開発の定石」 第2回「言語別フレームワークの比較」 フレームワークについて調査・分析を フレームワークの目的は、汎用処理を系統立てた仕組みの中に内包することで、プログラマの作業の効率化とWebアプリケーションの保守性を高めることにあります
PHP(というかWordPress)高速化のためにAPC(Alternatice PHP Cache)入れた - IDEA*IDEA 〜 百式管理人のライフハックブログ 〜
ドットインストール代表のライフハックブログ
第20回 文字エンコーディングとセキュリティ(2) | gihyo.jp
前回に引き続き、今回も文字エンコーディングとセキュリティをテーマに解説します。前回は文字エンコーディングを利用した攻撃で、JavaScriptインジェクションやSQLインジェクションなどが可能であることを紹介しました。今回はなぜ、文字エンコーディングを利用して攻撃できるのか、簡単に紹介します。 文字エンコーディングを利用した攻撃の原理 文字エンコーディングを利用した攻撃には3種類の方法があります。 不正な文字エンコーディングを利用する方法 文字エンコーディングを誤認識させる(誤認識を利用する)方法 文字エンコーディングのエスケープ方式を利用する方法 この連載は攻撃方法を詳しく解説する事が目的ではありません。具体的なの攻撃方法の解説はできる限り控え、なぜこの3つ手法が攻撃に利用できるのか解説します。 前回も触れましたが、パス遷移攻撃には文字エンコーディングを利用した攻撃方法もあります。 文字
PHP 5.3の名前空間仕様が変更されました
(Last Updated On: 2018年8月13日)名前空間に関する議論は5年以上も行われていたのですが、今度こそ結論が出たようです。 何故このようなエントリを書くかというと、Software Design(技術評論社)の11月号にPHPの最新情報としてα版PHP 5.3を紹介しているからです。入稿後に仕様変更があったので最新号の記事ですが既に内容が古くなってしまいました。 # とは言ってもまだ新しい仕様のPHPは無いですが α版なので仕様や機能が大きく変更される事もありますが大きな変更がありました。見本誌が刷り上がった頃に名前空間の区切り文字が”::”だと静的にメソッドを呼び出す場合やクラス定数を呼び出す場合に困る場合がある、とPHP開発者のMLで議論になり始めました。 ML上、IRC上、オフラインの打ち合わせが行われ、数週間におよぶ議論の結果が昨日MLに投稿されました。名前空間の
ITmedia エンタープライズ:Part 4 PHP 4からPHP 5への移行
特集 2004/05/31 18:00 更新 UNIX USER 2004年6月号「実践! 最新PHP 5」より転載: Part 4 PHP 4からPHP 5への移行 大幅なバージョンアップが行われたPHP 5。PHPユーザーとしては、どのような影響があるのか非常に気になるはずだ。Part 4では、PHP 5の互換性についての検証と、実行環境の入手方法について解説しよう。 大幅なバージョンアップが行われたPHP 5。PHPユーザーとしては、どのような影響があるのか非常に気になるはずだ。Part 4では、PHP 5の互換性についての検証と、実行環境の入手方法について解説しよう。 これからPHP 5に移行しようと考えているユーザーにとって、最大の関心事は、何といってもPHP 4との互換性であろう。Part 4では、注目の新エンジンの機能に注目してPHP 4とPHP5の互換性を解説する。 互換性
PHP4からPHP5への移行 ~ 下位互換性のない変更点:逆襲のニート
PHP 4 から PHP 5 への移行 下位互換性のない変更点 多くの既存の PHP 4 のコードは変更無しで動作するはずですが、 以下の下位互換性がない変更点について注意する必要があります。 strrpos() と strripos() は、 needle として文字列全体を使用するようになりました。 array_merge() は、配列のみを指定できるよう 変更されました。配列以外の変数を指定した場合は、各パラメータ毎に E_WARNING が発生します。あなたのコードで 突然 E_WARNING が発生し始める可能性が あるため注意してください。 プロパティを持たないオブジェクトはもはや"空"とはみなされません。 クラスを使用する前に宣言する必要がある場合もあります。 これは、PHP 5 の新機能 (たとえば interfaces など) を使用する場合にのみ生じます。 その他の場合
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
gist:323713
OSDIR
言語別フレームワークの比較 ~Perl/Ruby/PHPユーザーのためのMVCフレームワーク入門~ (1/6):CodeZine(コードジン)
PHPのnamespaceのセパレータに'\'を採用 | スラド
not found