第21回 文字エンコーディングとセキュリティ(3) | gihyo.jp
前回に引き続き、今回も文字エンコーディングとセキュリティをテーマに解説します。前回は壊れた文字エンコーディングを利用した攻撃、文字エンコーディングを誤認識させる攻撃を紹介しました。今回はSJIS特定の問題を簡単に紹介します。 文字エンコーディングのエスケープ方式を利用する方法 ほとんどの文字エンコーディングは、マルチバイト文字の中に“\”などの特殊文字を含みません。しかし、例外があります。Shift_JISでは“\”がマルチバイト文字に含まれるので、これが原因で脆弱性が発生する場合あります。 SJISの“表” <?php echo rawurlencode(mb_convert_encoding('表', 'SJIS', 'UTF-8')); ?> 出力 %95%5C “%5C”は“\”です。“\”は文字列のエスケープなどに利用される特殊文字です。addslashes関
PHPのsessionの有効期限を変更する方法を現役エンジニアが解説【初心者向け】
sessionの有効期限とは sessionの有効期限とは、セッションファイルが保持される期間です。セッションファイルが保持されている間は、ユーザが画面遷移した後でも前回接続した時の状態を保存し、特定できます。 これにより、以前に接続したサイトで、ログイン状態を保持したり、操作の続きを行ったり、ユーザごとに特化した情報の提供ができるようになります。 例)カートの中身、ログイン状態、レコメンド情報など sessionの有効期限が切れるというのは、セッションファイルが削除されるということになり、前回の接続情報が破棄されるということになります。 つまり、ログインしていた状態が解除されて再度ログインが必要になることや、カートの中身がリセットされたりするということになります。 sessionの有効期限はサーバで決められており、何も指定しなけれれば、デフォルトの値が設定されます。 PHPでsessio
ブログのRSSを読み込んで新着記事を表示!PHPを使ってみました
0.rss-phpライブラリを使おうRSSやAtomを読み込むためのライブラリを開発している方がいらっしゃるので、そちらを使います。 今回は、rss-phpというライブラリを使います。 ライブラリをダウンロード以下のURLより、ファイルをダウンロードしてください。 dg/rss-php · GitHub 使うファイルをコピーダウンロードしたZIPファイルを解凍します。 この中の、srcディレクトリ内、Feed.phpを使います。 Feed.phpを作業するディレクトリへコピーします。 これで準備は完了です。 1.PHPを記述 2015/12/4:一部プログラムを修正しました。 2015/12/3:詳細の文字数を制限したいという要望をいただきましたので、プログラムを修正しました。 新着記事を表示させたいファイルに、以下のPHPを記述します。 <?php require_once "./Fee
PHP: ob_get_contents - Manual
Getting Started Introduction A simple tutorial Language Reference Basic syntax Types Variables Constants Expressions Operators Control Structures Functions Classes and Objects Namespaces Enumerations Errors Exceptions Fibers Generators Attributes References Explained Predefined Variables Predefined Exceptions Predefined Interfaces and Classes Predefined Attributes Context options and parameters Su
8.x CSRF保護 Laravel
イントロダクションIntroduction クロスサイトリクエストフォージェリは、認証済みユーザーに代わって不正なコマンドを実行する、悪意のある攻撃の一種です。幸いに、Laravelを使用すれば、クロスサイトリクエストフォージェリ(CSRF)攻撃からアプリケーションを簡単に保護できます。Cross-site request forgeries are a type of malicious exploit whereby unauthorized commands are performed on behalf of an authenticated user. Thankfully, Laravel makes it easy to protect your application from cross-site request forgery[https://en.wikipedia.
勉強でphpBB3 var3.1.9をインストールしてみた。
タグ ジェネリック家具、DFV美肌ウェディングVisual Studio 2017windows10NFSSSLAWS EBS蟹、お年賀、パスタオートクチュール就業規則セキュリティお誕生日RabbitMQatomPostfixGCPAndroidハイヒール、ルブタン、美しい誕生日インドネシア、料理、美味しいAWSZabbixVulsPlesk12デッドロックバックアップボディケア母の日乾燥天皇RAIDWindows AzureH2OおりょりょんCS-QR30F負荷分散Cybozu Office10ジカ熱LIVEジェネリック、コピーツクモActive DirectoryベンチマークVagrantゆるいハッキングRedisLogstash予防接種アメーバ赤痢無利子NginxリカバリBINDVirtualBoxAWS EFSfluentd奨学金雨、傘法人化美徳、マナーC#レプリケーションMVCゆ
PHPでWebアプリ開発!人気テンプレートエンジン「Twig」を使ってみよう
PHPを使った本格的なWebアプリ開発に欠かせないのが、テンプレートエンジン。セキュリティ対策やデバッグがしやすく、人気のあるテンプレートエンジン「Twig」を紹介します。 TwigはPHP向けのテンプレートエンジンです。PHP自体がもともとテンプレートエンジンとして始まりましたが、たとえば「Hello world」を書くとしたら、どちらがいいでしょうか? 素のPHP<?php echo "<p> Hello " . $name . "</p>"; ?> もしくは<p> Hello {{ name }} </p> PHPは冗長な言語です。HTML要素を出力するとより冗長になります。最近のテンプレートシステムは冗長性をなくし、さらに、セキュリティやデバッグといった機能が特徴です。 今回はTwigを取り上げます。 TwigはBlackfireやSymfonyを開発した企業Sensio labs
サイトを安全に!PHPでcsrf対策を行う方法【初心者向け】
csrfとは CSRF(クロスサイトリクエストフォージェリ)とは、Webアプリケーションの脆弱性・またそれを利用した悪意のある攻撃を指します。 どんな攻撃か具体例を出してみますね。 仮にhoge.comというサイトにログインしている状態で、下記のリクエストを行うと指定したsend_user_idに指定したpointを送れるとします。 リクエスト先: http://hoge.com/send_point.php メソッド: POST パラメータ: send_user_id ・・・ ポイントを送付するユーザID point ・・・ 送付するポイント数 悪意のある攻撃者が用意したページで下記のフォームがあるとします。 もし、hoge.comにログインしている状態のユーザが下記のボタンを押してしまうと、攻撃者に自分のポイントを送付してしまいます。 もちろん、hoge.comサイトがCSRF対策を行
脆弱なサイトと罠サイトを実際に作って学ぶ『CSRF』とその対策 | Hypertext Candy
この記事では、Web セキュリティの基本である CSRF をハンズオン形式で解説します。 CSRF の解説は検索すればたくさん出てきますが、私が新人エンジニアだったころは言葉の説明だけ読んでもどうしてもよく分からなかったです。というわけで、実際に攻撃される側の脆弱なサイトと罠サイトを作成して、CSRF 攻撃を実現しながら説明していきたいと思います。 CSRF とは CSRF=クロスサイトリクエストフォージェリ(Cross Site Request Forgeries)は Web アプリケーションへのサイバー攻撃の一種です。日本語にすると「サイトをまたいだリクエストの偽造」でしょうか。「罠サイト」から「標的サイト」へ HTTP リクエストを送信することで「標的サイト」を操作してしまおうという攻撃手法です。 サンプルサイト 攻撃される側の標的サイト 攻撃される側のサイトは Laravel で構
トークンを利用してCSRF対策をしてみた | SIOS Tech. Lab
こんにちは。サイオステクノロジーの川田です。 前回のXSSに続いて、今回はCSRF(クロスサイトリクエストフォージェリ)という脆弱性をご紹介致します。 私が新卒の頃、初めてCSRFと聞いて「かっこいい名前」と思いました。そんなかっこいい脆弱性の名前ですが、どんな恐ろしいことが起きてしまうのか一緒に学んでいきましょう! CSRF(クロスサイトリクエストフォージェリ)とは Webアプリケーションの脆弱性の一種となっているのが、CSRF(クロスサイトリクエストフォージェリ)です。ログイン済みのブラウザに悪意のあるサイトをユーザーにクリックさせ、意図しない処理を実行させる脆弱性です。 では、図で確認してみましょう。 利用者はいつも利用するサイトにIDとPasswordを入力し、ログインボタンをクリックします。 ※ログインが成功するとセッションIDはCookieに保持されます。 利用者はログイン状態
[PHP] ページング機能の仕組みとか作り方とか
ページング機能というのは、「複数に分かれたページの前後ページへ移動するためのナビゲーションリンク」のことで このブログにも下の方に次のページへ移動させるためのページ番号リンクがありますよね。それです。 名称はページングだったりページネーションだったりしてますが、海外だとpaginationの方が一般的なようです。 先頭の何ページ目かまではページ番号、それ以上は三点リーダーとかでぼかしたりするGoogleライクなものや、 前後への矢印だけしか表示させなかったりするものなど、スタイルは色々ありますが これが自作しようとすると結構面倒臭い。そしてプログラミング初心者だとまず仕組みが良く分からない。 結構よく使うのに作り方や仕組みの解説をあんまり見ない気がするので書いてみます。 10周年記念にVue.js版を書きました! [Vue] ページネーション機能の作り方とコンポーネント作成入門 2019/
![[PHP] ページング機能の仕組みとか作り方とか](https://cdn-ak-scissors.b.st-hatena.com/image/square/8d71ff5111e05619a10d29bb40d7aebaa75c8fbc/height=288;version=1;width=512/https%3A%2F%2Fs0.wp.com%2Fi%2Fblank.jpg)
phpのページングは難しくない!シンプルに覚えるサンプル付き解説 | 侍エンジニアブログ
[/su_table] そして、以下のようにページングを表示させてみました。 【図の説明】 ①7件中3件ずつ表示されています。 ②現在表示中のページで、リンクはついていません。 ③2ページ目と3ページ目のリンクです。 次に、上記を作成するために必要なものを説明していきます。 1ページの記事の表示数 1ページに記事を何個表示するかという事です。 今回の場合、3となります。 トータルデータ件数 表示するデータが全部で何件あるのかという事です。 今回の場合は7件です。 トータルページ数 ページの数は何ページになるのかという事です。 今回の場合は、3ページです。 現在のページ番号 今表示しているページ番号は何ページ目になるのかという事です。 今回の場合は、1ページ目です。 最低限この4つがあればよいです。 この4つをどのように使用するのか説明します。 ページングで必要な事は、データの表示(図の①)
掲示板の作り方#6 スレッド登録の準備をする|Haguruma J
こんにちは。Suipediaです(∩´∀`)∩。 前回はスレッド作成の入力フォームを作りました。 こんな画面ができたんでしたね。顔アイコンの部分のみまだですが、#9で実装するのでご心配なく。 今回は入力されたデータの登録を行いますので、本格的なプログラミングになります。なぜならデータベースとの連携という新しい処理が入ってきますからね( *´艸`) では参りましょう。 今回のゴール今の時点ではなんのことかわからないと思いますが・・・ 画面的にはこのようなデータを入れる表ができるようになるところを今回のゴールとして進めていきましょう。 あとはサーバにデータを渡す準備をします。 掲示板システムのデータのもちかたデータを登録する前にまずこのシステムではデータをどのように保持するのか、という点について理解せねばなりません。 これをご覧ください 掲示板を実現するにあたって必要なデータは大きく2つに分か
PHPのstaticプロパティとstaticメソッド、定数
定数 さて、もう1つのstaticメンバであるstaticメソッドの説明に入る前に、少し脇道に逸れます。staticプロパティは全インスタンス共通で使われる値でした。同じように、全インスタンスで1つしかない値として、定数があります。それを扱っておきましょう。 定数はconstで定義 早速サンプルで見ていきましょう。まず、以下のCircleクラスを作成してください。 <?php class Circle { //πを表す定数。 const PI = 3.14; //(1) //半径を表すプロパティ。 private $radius = 0; //コンストラクタ。半径を引数でもらう。 public function __construct(int $radius) { $this->radius = $radius; } //円周を得るメソッド。 public function getCirc
PHP のオブジェクトやクラス
PHP でのオブジェクトとは、データである変数とそのデータを操作する関数をまとめたものと言えます。 配列:複数のデータ(変数)をまとめたもの 関数:1つの処理手続きをまとめたもの オブジェクト:複数の変数と複数の関数をセットにしてまとめたもの オブジェクトの持つ変数のことを「プロパティ」、オブジェクトの持つ関数のことを「メソッド」と呼びます。 プロパティ(またはメンバー変数):オブジェクトの持つ変数 メソッド(またはメンバー関数):オブジェクトの持つ関数
POTI-board改公式サイト
POTI-board EVOは無料で使えるお絵かき掲示板のPHPスクリプトです。 POTI-boardやお絵かき掲示板に関する情報発信は、noteのお絵かき掲示板開発マガジンでも行っていますのでどうぞよろしくお願いします。 最新版ダウンロード POTI-board EVO v6.36.1 日本語版 POTI-board EVO EN v6.36.1 Download the English version here. サポート 設置サポート掲示板 設置方法に関する質問や要望はこちらにお願いします。 設置方法 お絵かき掲示板簡単設置方法 2020年版 POTI-board EVO wiki (ENGLISH) 設置方法をまとめた記事のリンクです。 お絵かき掲示板 お絵かき掲示板
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
그누보드용 오에카키 스킨 > SIR
POTI改 設置サポート掲示板 - Petit Note
PHPプログラミングでClassが必要な理由 - PHP SCHOOL.biz
スレッド式掲示板を作る時のmysqlの構造