この投稿はPHP Advent Calendar 2013の13日目の記事です。昨日は@tanakahisateruのPHPが糞言語なのはどう考えても参照をポインタだと思っているお前らが悪いでした。 現在twitterのタイムラインで、史上空前のSQLのエスケープブームが起こっています。 オレオレSQLセキュリティ教育は論理的に破綻している | yohgaki's blog 「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」 - Togetterまとめ エスケープとプレースホルダをめぐる議論 - Togetterまとめ SQLインジェクション対策としてのプリペアドステートメントとエスケープについての議論 - Togetterまとめ IPAの「安全なSQLの呼び出し方」が安全になっていた | yohgak

去る25日の金曜日に第59回PHP勉強会@東京で発表してきました。以下が発表資料（少し修正しました）です。 発表資料：「PHPのマルチバイト処理 ― 分類と落とし穴」(slideshare版)(PDF版) 久々のPHP勉強会だったので張り切って発表しに行ったのですが、他の人も同じ考えだったようで、本編の発表が3本、ちょっとピザ食べた後に発表5本という大盛況でした。 僕の発表内容は、最近PHPのバイナリが何系統の文字コード処理を含んでいるかについて調べたので、それをまとめたものです。関連しそうなバグエピソードを絶賛受付中です。 他の方の発表では、@yandoさんのキャッシュとページネータの話題は明日から使えそうなくらいの役立ち情報でした。（「Zend_Cache Zend_Paginatorの発表をしました@PHP勉強会 : candycane development blog」） また、@

ご無沙汰しております。ものっそ久しぶりに書きます。 著者様から献本頂いて、達人出版会発行の「はじめてのフレームワークとしてのFuelPHP」読みました。EPUBをダウンロードするやつです。 http://tatsu-zine.com/books/fuelphp1st ただのFuelPHPのテクニック本だと思ったら大間違い、FuelPHPはむしろPHPフレームワークのわかりやすい一例として取り上げましたという印象で、この本の本質は、今どきPHPで開発するってのは、これぐらいの基準ラインに乗ってるよ、というのが一気にわかる本でした。 自分のローカルホストにきっちり開発環境作る OSSコミュニティへのURLリンクをしっかり持つ 自分が使っているOSのコマンドラインを押さえよう どれぐらいWeb開発用語の知識を持つべきか体で知ろう フレームワークと呼ばれるものがおよそどんな機能を持つのか Webア

PHPカンファレンス2011に朝から参加してきました。昨年に続き2回目の参加です。次期バージョンであるPHP5.4のお話やフレームワークまわりのお話を聞きました。知らないことが多くてドキドキしますね。 各セッションはUSTで閲覧可能(メイントラック、ギークトラック、テックトラック)になっているようです。タイムテーブルを見て興味がある方はぜひご覧になってください。 ここでは徳丸さんのセッション「徳丸本に学ぶ安全なPHPアプリ開発の鉄則2011」についてのメモ書きを載せてみます。 USTも貼り付けておきます。 鉄則10 安全なPHP入門書で学習する 逆引き、パーフェクトとかがよさそう。(だけど初心者向けともいえない。) ※それぞれ徳丸さんがレビューされています。問題のない安全なPHP入門書は意外とないみたいです。 PHP逆引きレシピ：PHP逆引きレシピは概ね良いが、SQLインジェクションに関し

色々なPHPフレームワークのパフォーマンスを比較 にて様々 PHP フレームワークがベンチマークされています。 ここで、CodeIgniter もベンチマーク対象ですが、惜しくも Pinoco に負けて 2位という結果でした。 そこで、この結果を手許の環境で追試してみました。 CodeIgniter は標準では Active Record と呼ばれるデータベースアクセスの仕組みが使えるようになっていますが、設定でオフにすることも可能です。Active Record を使わない場合は、query() メソッドに SQL を記述することになります。 Active Record をオフにすることで、パフォーマンスを追求することができます。 そこで、Active Record を使った実装と、Active Record を使わない実装の 2つをベンチマークしてみました。 結果 Pinoco 0.5

PHPフレームワークの速度比較では、HelloWorldを表示するのみの単純なアプリを用いた計測を元に比較表が作られることが多いです。特に後発のフレームワークは分かりやすい特徴付けとして速度をアピールする傾向にあるため、その比較表を元に N倍速いというアピールをしています。 PHPフレームワークを使うということは、DBまで絡めたWebアプリを作ることがほとんどなため、HelloWorldアプリの比較よりは、DBからレコード取得して表示するまでの処理速度を比較したほうがより現実に近い指標になると思います。特にCakePHP1系ではDBのデータ取得も独自ドライバになっていますし、モデルの処理も重いのでそこまで含めて他と比較したほうが良いと思ってます。 今回はDBから1レコード取得して表示するという簡単なアプリで各フレームワークの速度を評価しました。フレームワークに備わっているViewキャッシュ

PHP 5.3.4のリリースは2010年12月にリリースされました。このリリースにはセキュリティ上重要な変更が追加されています。 Paths with NULL in them (foo\0bar.txt) are now considered as invalid. (Rasmus) パスに“⁠foo\0bar.txt⁠”などのようにNULLが含まれる場合は無効として処理される、とPHP 5.3.4のリリースノートには記載されています。PHP開発者の間でもあまり大きなニュースとして取り上げられていないので、この仕様変更をご存知でない方も多いと思います。2011年4月現在でもこの仕様変更はマニュアルには記載されていません。しかし、この修正はセキュリティ上非常に重要な意味を持っているので解説します。 仕様変更の必要性 PHP本体はC言語で記述されているため、ファイルを開く場合、最終的にはC言

前のエントリーの続き。まずは自己引用。 php-pearが5.1/5.3両対応なのかと思ったのですが、PEARがやたらWARNINGを吐くので、多分ダメなんだと思います。 そんなことはなかったらしく、Warningが吐かれまくっていてもpearコマンドのupgradeで最新のPEARにできました。2chのCentOSスレの人ありがとう！確かに、なんか大量に吐かれているとはいえ、Warningだもんなぁ(されどWarning?)。 以下、新規にCentOS5.6を入れた場合のpearのアップグレード手順です。こんな強引な方法で大丈夫か？ # pear upgrade --force Archive_Tar # pear upgrade --force Console_Getopt # pear upgrade PEARアップグレード前後のバージョン番号は次の通りです。 パッケージ アップグレ

Rss parser is an easy to use API that handles all of the dirty work when it comes to fetching, caching, parsing, normalizing data structures between RSS and Atom formats, handling character encoding translation, and sanitizing the resulting data. Here is a collection of 10 RSS parsers. 1. Lastrss