preg_replaceによるコード実行 - T.Teradaの日記
最近少し調べていたのが、PHPの任意コード実行系の脆弱性です。中でも、preg_replace関数(Perl互換の正規表現による置換を行なうための関数)を不適切な方法で使った場合に発生する脆弱性について調べていました。 せっかくなので、日記にまとめてみます。 3種類の脆弱性 preg_replace関数を使ったPHPコード実行系の脆弱性には、大きく分けて3つの種類があります。 第一引数への挿入を許す e修飾子付き・第二引数への挿入を許す e修飾子付き・第三引数への挿入を許す 以下でそれぞれについて見ていきます。 タイプ1:第一引数への挿入 以下のコードに、任意のPHPコードが実行可能な脆弱性があります。 $m = preg_replace("/([^<]*)$kw([^>]*)/i", "\\1<font color=red>$kw</font>\\2", $m); $kwと$mは外部から
Ring
Ringとは、リクルートグループ会社従業員を対象にした新規事業提案制度です。 『ゼクシィ』『R25』『スタディサプリ』など数多くの事業を生み出してきた新規事業制度は、 1982年に「RING」としてスタートし、1990年「New RING」と改定、そして2018年「Ring」にリニューアルしました。 リクルートグループの従業員は誰でも自由に参加することができ、 テーマはリクルートの既存領域に限らず、ありとあらゆる領域が対象です。 リクルートにとって、Ringとは「新しい価値の創造」というグループ経営理念を体現する場であり、 従業員が自分の意思で新規事業を提案・実現できる機会です。 Ringフロー その後の事業開発手法 Ringを通過した案件は、事業化を検討する権利を得て、事業開発を行います。 さまざまな事業開発の手法がありますが、例えば既存領域での事業開発の場合は、 担当事業会社内で予算や
PHP/脆弱性リスト/メモ - yohgaki's wiki
なんだかやけに長い説明ばかり検索に引っかかったので書きました。 Linuxのローカル環境でDockerコンテナ内のXアプリ(GUIアプリ)を利用するには $ xhost localhost + を実行した後に $ docker run --rm --net host -e "DISPLAY" container_image_name x_app_binary_path とすれば良いです。 もっと読む SSHなどよく知られたサービスポートで何も対策せずにいると数えきらないくらいの攻撃リクエストが来ます。不必要なログを増やしてリソースを無駄にし、もし不用意なユーザーやシステムがあると攻撃に成功する場合もあります。 SshguardはC作られており、flex/bisonのパーサールールを足せば拡張できますがカスタム版をメンテナンスするのも面倒です。必要なルールを足してプルリクエストを送ってもマー
tracのソースブラウザでシンタックスハイライト & PHPファイルのプレビューをする。 - カサヒラボ
tracのソースブラウザでシンタックスハイライト & PHPファイルのプレビューをする設定です。 ■tracのソースブラウザでシンタックスハイライト。(※この方法あってるかな?正直謎。。。) enscriptをインストール&trac.iniにパスを書く trac.iniのパスは、自分の環境だとプロジェクトをインストールした場所、~/var/trac/repo/conf/trac.iniにあります。 このtrac.iniのなかの、 [mimeviewer] enscript_path = enscript に、enscriptへのパスを書けばよいっぽいのだが、このenscriptスクリプトとやらがさくらサーバ内に見つからなかった。 なので、wgetでとってきてmake。 $ wget http://ftp.gnu.org/pub/gnu/enscript/enscript-1.6.1.tar
masuidrive on rails » Blog Archive » PHPユーザの為のRuby/Rails入門
[追記] if構文の変数スコープの説明に間違えがあります。新しいスコープは作られません。 お盆のまっただ中8/11(土)に、社内勉強会を開いて、PHPユーザ向けにRuby/Rails入門をやりました。 じつはお盆の土曜日に4時間も勉強会って事で、そんなに人も集まらないだろうと思っていたのですが、ふたを開けてみたら28名も参加があり、びっくりしました。それだけ興味を持ってもらったのは嬉しいけど、これだけ集まるなら資料はちゃんと作らないと・・・・。ということで、作った資料を公開します。なんとRuby編100ページオーバー、Rails編200ページオーバーと、かなり大作です。 RubyKaigiで、発表者のスライドの横でIRCが表示されていたのが面白かったので、勉強会の参加者には、Lingrのチャットルームに全員入ってもらって、質問やパートごとの「終わった!」という書き込みをしてもらいました。今
PHP コード最適化 Best Practices 63+ - カタコト日記
みたいなタイトルの記事を Digg 経由で発見。チートシート代わりにと思い超訳。*1 A Software Architect PHP 最適化 ベストプラクティス! 01. static にできるメソッドは static として宣言しよう。(4倍速い) 02. echo の方が print より速い。 03. echo '文','字'; (カンマ区切り)の方が、'文'.'字' (ドット連結)より速い。 04. ループの最大値は、ループ「内」ではなく「前」にセットしておこう。 05. 大きい配列のような変数は unset() してメモリを解放しよう。 06. マジックメソッド(例: __get, __set, __autoload)は使用を避けよう。 07. require_once はハイコストなのです。 08. include や require でファイルはフルパスで指定しよう。 09
Ruby・Python・JavaScript・PHPについてどう思いますか?:Tim Brayに聞いてみた - builder by ZDNet Japan
サステナビリティの今と未来 企業戦略としてのサスティナビリティ推進 世界の通信インフラを支えるコルトの取組み 膨大なアクセスを支える屋台骨 高い安定性とパフォーマンスを両立 ZOZOTOWNが選んだストレージ基盤を解説 MSセキュリティ担当者が紹介 マルチクラウド環境の保護を追求する Microsoft Defender for Cloud 勝つためのクラウド活用術 New Value on Azure ビジネスを次のステージへ! ID管理の基礎知識 新しい働き方におけるITガバナンスの 向上にむけて 高い従業員満足度と安心・安全 新時代にむけた理想の業務環境こそ Anywhere Workspaceが目指す未来 新OSのWin11はどう進化したか ビジネス上の役割、開発の要因と Win11が目指した5つのポイントを紹介 現場主導のデジタル変革 ビジネス変革のための“ITの民主化” そして
「@」でエラー抑制すると PHP が遅くなるという噂について : a My RSS 管理人ブログ
PHP では @ を付けることでエラーを回避できるという便利な記述方法があり、ものぐさな私などは if (@$var["foo"]) $result = $var["foo"]; みたいなコードを書いてしまいます。 で、この処理が「遅い」という噂やツッコミを度々受けるので調べてみました。 「ほら、そんな気にするほどでも無いよ」という結果を期待していたのですが、、、なんじゃこりゃ。。。 劇遅じゃないですか、これ。 いやはや・・・ ちょっと列挙しますね。以下のようなコードを単純 for 文で 100万回実行したときの結果です。 error_reporting(0) で PHP4 if (@$a["hoge"]) $b = $a["hoge"]; ⇒ 約 2.4 秒 if ($a["hoge"]) $b = $a["hoge"]; ⇒ 約 1.3 秒 if (isset($a["hoge"]))
(PHP) プログラマのための Vim (まとめ)
遅ればせながら、依然書いてたAndreiのVimスライドの訳記事の一覧エントリを。 今でもちょくちょくブックマークされているのですが、個別エントリしかなくてブクマしづらいので。 元記事 http://www.gravitonic.com/blog/archives/000357.html ここからAndreiの実際使っているVimの設定ファイルやプラグインのアーカイブもダウンロードできます。 記事一覧 カーソル位置・カーソル移動・マーク・挿入 削除・検索 置換・テキストオブジェクト コピー/削除/貼り付け、レジスタ undo ビジュアルモード、ウィンドウ、タブ 補完・マップ・オプション セッション、misc、ヘルプ PHP向けカスタマイズ(1) ペアマッチ・ブロックオブジェクト・ハイライト・折りたたみ(folding) PHP向けカスタマイズ(2) タグ・補完・netrw PHP向けカスタ
【PHP TIPS】 81. ブログパーツを作ってみよう:ITpro
ブログパーツと呼ばれるものをご存知ですか? ブログペットや地図日記など、ブログ上にスクリプトタグを埋め込むことで別サーバーのコンテンツを表示するモノです。 このようなブログパーツでは、下のようなスクリプトタグを埋め込むことでコンテンツを表示させることが多いです。 <script type="text/javascript" src="http://www.example.com/script.js"></script> 今回はこういったブログパーツの基礎部分をつくってみましょう。サンプルでは単純に「Hello World!」を表示させます。ブログに貼り付けた上記の<script>タグ部分が「Hello World!」に置き換わるサンプルです。 まずは、貼り付けるブログに表示したいHTMLタグを書き起こします。 <div> <p>Hello World!</p> </div> これをブログに
Expiresヘッダを追加しよう! - dogmap.jp
コンテンツの有効期限を遠い未来に設定し、クライアントのキャッシュを利用して HTTP リクエストを減らそうと言う提言。 Web サーバとして Apache を採用しているならば、mod_expires を設定するのが、現実的だろう。 …が、さくらのレンタルサーバでは mod_expires は使用できない模様。 mod_expires の設定例 ちなみに mod_expires が使用できるのならば .htaccess に以下の設定をするだけでおっけ。 <IfModule mod_expires.c> ExpiresActive On ExpiresDefault "access plus 1 year" </IfModule> これで expires ヘッダに1年後の日付をセットして返してくれる。 # 実際に設定する場合は ファイルタイプごとに有効期限を変えるなど、もっと細かく設定したほ
PhpUnit - 最強のユニットテスト自動化ツール - Do You PHP?
zip形式 tgz形式 gihyo.jpにPHPUnit3で始めるユニットテストというタイトルで記事を書きました。PHP5をお使いの方は、そちらを参照してください。 ここにある情報はかなり古くなっており、正しくなくなっている可能性があります。掲載しているサンプルコードiなどは、最新のPHPでは動作しない、もしくは、別途設定・調整が必要になるかも知れません。情報を鵜呑みにせず、あなたの手を動かして、あなたの目で確認してください。 PhpUnitは一時期PEARに登録されていましたが、現在は別プロジェクトとして活動しています。新しいURLはhttp://phpunit.de/です。 テスト。。。ああ、なんてイヤな響きでしょう。。。(^-^; 「テストすること」はプログラムの品質を保証するということで非常に重要な作業だ、ということは百も承知と思いますが、コーディングと比べてやはり「イヤ」なもの
プログラムっておいしいの? - iGirl
ってゆうスイーツ(笑)が少しでもプログラムを理解するには何をしたらいいのでしょうか。何を読んだらいいのでしょうか。ググればググるほど分からなくなってきました。 「初心者のための・・」系を読んでも、サンプルコードというものを見ても、何のこっちゃ分からずで*1、perlにしようかPythonにしようかjavaにしようかC++にしようかとか言ってる場合じゃありません。C++とC#は別クチなんすかね?ですよね。ギャー! どんなふうに始めればいいか分からないしたぶん「私には無理!生まれたときから文系だもん!むしろ文系から生まれたもん!」とか言い訳垂れて諦めるかもしれないんだけど、とりあえず何となく話だけでも分かる風になりたいなーとか思ってー。諦めるまでに達せない自分が歯がゆい>< ギークに「プログラム始めたきっかけって何ですか?」みたいに聞くと(あと記事とか読むと)「自分でゲームを作ったのがはじめ
autoPrepare & autoExecute
autoPrepare() および autoExecute() は、うんざりするような INSERT、UPDATE、DELETE や SELECT 文を書く手間を軽減します。 これらの SQL 文を使用していると、例えばテーブルにフィールドを追加した場合などの メンテナンスが大変ですよね? autoPrepare() および autoExecute() を使用するには、 Extended モジュールを 使用する必要があります。 'user' テーブルに次の 3 つのフィールド (id, name そして country) があるとしましょう。 きっと、こんな SQL クエリを書くことになるでしょう。 INSERT INTO table (id, name, country) VALUES (?, ?, ?) UPDATE table SET id=?, name=?, country=?
クデラボ -KudeLab- » PHPでMeCabを使って形態素解析をするときのメモ
PHP で MeCabと言えば MeCab PHP extension を使うのが一般的だろうと思うけど、今回はそれを使わずにやってみようというお話。 extension を使えない環境での MeCab 使用に役に立つかも。 PHP で MeCab を使うときに面倒なのは、解析したい文章を直接システムコマンドの引数として渡すことができないところ。 ファイル名なら引数として渡せるので、一旦ファイルに保存して、それを引数で渡して解析する・・・という方法が採れなくはないけど、なんか美しくない。 やはり、ファイルなど使わず、そのまま直接解析させたい。 そんなときは、結論から書くと、以下のようにすればいい。 $descriptorspec = array( 0 => array("pipe", "r") , 1 => array("pipe", "w") ); $process = p
RoundCube Webmail日本語サイト
ようこそRoundCube Webmail日本語サイトへ + このサイトはajaxとPHPで組み合わされたウェブメール「RoundCube Webmail」の日本語サイトです。 RoundCube Webmailの日本語対応の促進と情報交換などを目的に構築されています。 ↑ コンテンツ + ニュース RoundCube Webmailについての情報リリース情報など時事的な情報を掲載していきます。 ダウンロード RoundCube Webmailのダウンロード情報を掲載していきます。 ドキュメント 主に日本語独自のドキュメントを掲載していきます。 掲示板 情報交換のための掲示板を設置しています。 ↑
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PHP向けアプリケーション 機能比較(エディタ編) for Mac
PHPでのクラス利用
midoff.com
PHPについて質問致します。 形態素解析を行うにあたっていくつかの形態素解析エンジンを比較していった結果、 MeCab(http://mecab.sourceforge.jp/)を使用するこ…