自己流のSQLインジェクション対策は危険
HTMLエスケープの対象となる < > & " の4文字は、文字実体参照に変換された後、preg_replace関数でセミコロンを削除してしまうので、中途半端な妙な文字化けになりそうです。 一般的な原則としては、データベースにはHTMLの形ではなくプレーンテキストの形で保存しておき、HTMLとして表示する直前にHTMLエスケープする方法で統一することで、上記のような文字化けやエスケープ漏れをなくすことがよいでしょう。 脆弱性はないのか このsanitize関数に脆弱性はないでしょうか。上表のように、バックスラッシュ(円記号)を素通ししているので、MySQLや、設定によってはPostgreSQLの場合に、問題が生じそうです。以下、それを説明します。以下の説明では、MySQLを使う想定とします。 以下のように、ログイン処理を想定したSQL文組立があったとします。 $sql = sprintf(
「聲の形」が凄かったので、週刊少年マガジンの実録系読切についてまとめてみた - 情報中毒者、あるいは活字中毒者、もしくは物語中毒者の弁明
今週号の週刊少年マガジンに掲載された「聲の形」が話題になっております。確かに凄かった。 読み切り版「聲の形」:ヤマカムセカンド 「差別」と「いじめ」が重なるマンガだった - 泣きやむまで 泣くといい 【騒然!「週刊少年マガジン」掲載「聲の形」を読むべし】 - エキレビ! 求めていたのは和解ではなく拒絶~普通学校で虐められた聴覚障害者が読んだ聲の形~ - Togetter そして、表紙アオリの「マガジンでしか読めない」ってのは、そうだなあ、と感じたのです。 マガジンでは過去にも時々、社会派系とでもいうべき作品が掲載されてきたので、感想などでもそれに絡めて書いてたり思い出した人も多かったようです。 ただし、今回の「聲の形」は、「フィクション」であることで、それらとは根本的に異なっています。 ここん所は結構大事なので憶えて置いていただきたい。 しかし、この作品を掲載することの出来る懐の深さという
パスワード用のハッシュとは(猛省用資料)
昨日の記事はだいぶ注目を集めたようです。今日は自分向けの技術的なメモです。 パスワード等に使うのにSHAなどのよく知られたハッシュ関数ではなぜダメなのか? パスワード用のハッシュ関数は何が違うのか? という話です。なお、今回はほんとに昨日今日でいろいろ仕入れたもののため、中身も薄いし間違ってるかもしれません(また、個別のアルゴリズムやテクニックなどは陳腐化しやすいので、後日にはいろいろ変わっていることでしょう)。その辺は注意してください。 ネタ元は http://throwingfire.com/storing-passwords-securely/#notpasswordhashes など 、あと https://plus.google.com/102550604876259086885/posts/4eoNnNSQ7W6 にコメントをいただいた皆さん(ありがとうございます!)。 で。
パスワード保存とソルトの話
先日、twitterへのハッキング行為が発見された、という発表がなされました。一部のユーザのデータが漏洩したということです。 この件について個人的に懸念を感じたため、それをこちらに書いておきました。原文では encrypted/salted password と呼ばれていたものが、日本語の公式ブログでは「暗号化されたパスワード」となり、これが朝日新聞では「パスワード」と表記されているという問題です。 専門知識があれば、ここにどういう違いがあるかはわかるのですが、そうでなければわからないのも無理はありません。しかし、わからないからといって省略して良いわけでもありません。パスワードと encrypted/salted password は大きく異なります。 ではどう違うのか? この話について、ひと通りの解説をしてみるのも良いのではないかな、と思ったのでしてみます。 「パスワード」は保存されない
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
狂気のATOK、正気のJust MyShop L'eclat des jours(2013-02-23)
_ 狂気のATOK、正気のJust MyShop MBPを買い替えた。 TimeCapsuleから以前の内容を移入した。 そうしたら、ATOK(2011 for Mac)がいきなりぱっぱらぱーになってしまった。 「しゅっぱんしゃ」で変換すると「出帆者」になる。? と思って、変換押すと、候補が「出帆者、しゅっぱんしゃ、シュッパンシャ」……。嘘だろ? で、「しゅっぱん」で変換すると「出帆、出版」で、出版が無いわけでは無い。 そのほか筆舌に尽くしがたい謎挙動がたくさん。 おかしいなぁと言語設定を見直そうとすると、ライセンスが見つからないからインストールし直せ(記憶曖昧)とか出て来た。 うう、Just MyShopのダウンロード販売で購入したから、インストールし直せない(dmgは消してしまった)…… と思ってやれやれ買い直しか、でも発狂したATOKでもことえりよりは遥かにまともだから我慢するか、と
nginx(1.3.13)でWebSocketをリバースプロキシしてみる - 人と技術のマッシュアップ
nginx(1.3.13)でWebSocketのプロキシを試してみました 2013/2/19にnginxが正式にWebSocketに対応したとアナウンスがあったので、試しに使ってみました。 ダウンロード・インストール ここからnginx-1.3.13をダウンロードしてきて、インストールします。 インストールオプションはあえてデフォルトで $ wget http://nginx.org/download/nginx-1.3.13.tar.gz $ tar xvf nginx-1.3.13.tar.gz $ cd nginx-1.3.13 $ ./configure $ make $ sudo make install 設定ファイルの書き換え 次にnginx.confを書き換えます。構成は リバースプロキシ: 192.168.0.8:80 バックエンドサーバ: 192.168.0.2:3000
Apple純正マウスやキーボードをワイヤレス充電する「The Magic Feet」
プレアデスシステムデザインは、Apple純正のキーボードやマウス、トラックパッドをワイヤレス充電する「The Magic Feet for Apple Wireless Keyboard/Magic Trackpad/Apple Magic Mouse」を発売した。予想実売価格は1万6500円。 The Magic Feetは、各デバイスが使う乾電池の代わりになる「Magic Bar充電池」と、Magic Bar充電池に電磁誘導方式で給電する「チャージングベースステーション」を組み合わせて使用。チャージングベースステーションはMacのUSB端子から電源を得て、Magic Bar充電池が取り付けられたデバイスをワイヤレス充電する。Magic Bar充電池のフル充電にかかる時間は約10時間。各デバイスに装着した際のバッテリー寿命は、Apple Wireless KeyboardとMagic T
NTT ドコモの MOQ(最低発注数量)
[NTT ドコモ加藤薫社長:photo] NTT ドコモから iPhone が出るというウワサでにぎやかなようだ。 携帯電話会社が iPhone を扱う際には一定数の販売台数を義務付けられる[MOQ:最低発注数量]ことは有名だ。 NTT ドコモの場合はそれがどれくらいになるのか、少し前になるが Horace Dediu が興味深い分析をしている。 asymco: “The iPhone MOQ” by Horace Dediu: 17 January 2013 * * * NTT ドコモ加藤薫社長談 NTTドコモの加藤薫社長は10日、日刊工業新聞の取材に応じ、米アップルのスマートフォン(多機能携帯電話)「iPhone(アイフォーン)」について「互いの契約条件が合えば、ラインアップの一つとして扱いたい」と採用に意欲を示した。アップルは通信会社との契約で一定数の販売台数を義務付
「PlayStation4は夢が無い」という幻想をぶち壊す
最初に言っておくと、増田はSCEが嫌いな方でPS3もVitaも持っていない。 PSPもスパロボの新作が出るまで持っていなかったほどだ。 そんな増田だが、PlayStation4発表でのハードウェアに対する誤解の数々を見てちょっとばかり怒りを覚えたので少し書いておく 「x86」ではなく「AMD64」いきなり「何が違うんだ?」と思う人や「何も違わないだろ?」と言う人も居るかも知れない。 だが後半を語る上でもこれは重要な話なので省略しないでおく。 最近のPCは当たり前のように64bitのメモリ空間を扱えるようになった。 この増田を読んでる人でも64bit OSを使っている人は少なくないはずだ。 これをもたらしたのは、x86 CPUを作ったIntelではなくx86互換CPUを作っていたAMDである。 じゃあIntelは何をしていたのかと言うと、64bit CPUを作っていた。x86を完全に捨てて。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ヤングアニマル新連載「SE」、ドキッとしたよ(オナホールに) : ヤマカムセカンド
【本田雅一のAVTrends】 PS4が変えるユーザー体験。SCEハウスCEOインタビュー