PHPのセッションアダプション脆弱性克服への道のり
(Last Updated On: 2018年8月13日)PHP Advent Calender用のエントリです。 PHPのセッション管理は非常に簡単です。セッションをsession_start()で開始して$_SESSION配列を使うだけです。便利で簡単なセッションモジュールですがセッションアダプションに脆弱であるため、一般に言われてる「ログインする時にはsession_regenerate_id()を呼ぶ」コーディングではセッションアダプションに脆弱になってしまいます。 まずは危険性と対策を紹介します。 セッションアダプションの危険性 セッションアダプションとは外部などから設定されたセッションIDを受け入れ初期化する脆弱性です。一番分かりやすい例はTrans SIDを有効にして http://example.com/index.php?PHPSESSID=1234567890 とアクセ
[戯] リバースプロキシを使って複数のバージョンの PHP,MySQL,Apache を共存させる方法
リバースプロキシを使って複数のバージョンの PHP,MySQL,Apache を共存させる方法 2006-05-18-2: [PHP][MySQL][Network][Solaris] PHP 3.x と PHP 4.x は --enable-versioning を configure オプションに加えるだけで,何も考えずに共存できました. ただ,PHP 5.x になってから PHP 4.x と共存するのは難しくなっています. サーバが一台しかないテスト環境などでは,これでは困る場合もあるわけです. そこで,Apache のリバースプロキシを使って複数のバージョンの PHP を共存させます. ついでに,複数の MySQL も共存させることにします. 検証環境は Solaris 10 です. 今回は php5.example.com にクライアントからアクセスがあったら - Apache
PHP フレームワークの「FuelPHP」がスゴすぎる - A Day in Serenity @ kenjis
新しいことを勉強して、久々に心底感動しました。 Twitter である方が Fuel についてつぶやきをしているのを拝見し、この時初めてその存在を知りました。。 PHP の新しいフレームワークで、複数のフレームワークのいいところを集めたものということだったので、ちょっと触ってみるかとダウンロードしてドキュメントを読みながら Hello World! を作ってみる。すると・・・ こ・・これはすごい・・ なにがすごいって、これまで私は「CodeIgniter」を超愛用していました。CodeIgniter は、もちろんそのほとんどがすごくいいのですが、若干だけ不満があったのです。しかし、FuelPHP では CodeIgniter の好きなところはそのままに、不満が全部吹っ飛んでいたのです。 では、その全貌をご覧入れましょう。 [広告] FuelPHP 入門書の決定版が発売されました。詳しくは、
centos5.6 と php53 – monochrome-ash
php5.3が使えるというCentOS5.6が最近リリースされましたので、5.5からアップグレードして、さらにphp5.3をいれてみました。 方々で書かれているように、CentOS5.6ではphpパッケージの名前が5.3系からphp53と変更されている。 とりあえずまず、OSを5.6にした後に、phpのパッケージリストを出してみる。 インストールされているものは、rpm -qa | grep phpとかでリストアップ。 それをメモっておいてyumでアンインストール まず、apacheとめておく # service httpd stop アンインストール # yum remove php php-* 新しいパッケージをインストール # yum install php53 php53-cli php53-common php53-mbstring php53-devel php53-gd ph
企業で使えそう!PHP製、WebベースのGitリポジトリ管理·Git Manager MOONGIFT
Git ManagerはPHPで作られたGitリポジトリ管理システムです。ユーザ単位のアクセス制限に対応しています。 Gitのサーバを立てようと思うとなかなか面倒なイメージがありますが、Web上で管理できるととても手軽になりそうです。PHP製のGit Managerを紹介します。 ログインした後の画面です。ログインはhtpasswdまたはLDAPを利用できます。 リポジトリ追加のダイアログです。 リポジトリを追加しました。 ユーザごとのアクセス権限を設定できます。 グループ単位の設定も可能です。 リポジトリを作るとこのようにGitのファイル構成が作成されます。 認証の仕組みでhtpasswdを使ったり、LDAPが使える点がとても便利ではないでしょうか。またWebDAVを使うことでWebベースでリポジトリを触れるのも便利です。筆者環境ではcloneできなかったのですが、HTTPベースでpus
PHPでのSQLインジェクション対策 - プレースホルダ編 | Let's POSTGRES
第四企画 坂井 潔 SQLインジェクションの脅威からシステムを守るために、プログラミング言語/スクリプトからSQLを発行するときには、パラメータを適切に処理しなくてはなりません。今回はプレースホルダ編と題し、SQLインジェクション対策として最も簡単で効果的な方法を、PHPで説明します。 SQLインジェクションとは? まず「SQLインジェクション」とは何かおさらいしましょう。SQLインジェクションとは、アプリケーション(この場合はPHPスクリプト)に渡すパラメータの値を操作することで、元々は意図されていない処理をSQLとして実行させてしまうことです。 簡単な例をあげてみます。ユーザーから文字列「山田」が渡されたとき、以下のようなSELECT文を発行することにします。 SELECT * FROM users WHERE username LIKE '%山田太郎%'; ユーザーに入力された文字列
【PHP】とあるページの、はてブコメント、ツイート、Facebookいいね!数を取得するテンプレコード【’11年末版】
こんにちは。開発担当の林です。 今回はタイトル通りPHP(5.2以上)で、とあるページの、はてブコメントと、ツイート、Facebook いいね!数を簡単に取得するためのテンプレ用ソースコードです。 最低限のコードですが、比較的よく使われるものなのかなと思ってまとめました。 何かのお役に立てれば幸いです。 ※ 本記事は、各サービスの公式 API を使っています。 はてなブックマークエントリー情報取得API Twitter API (日本語参考:Twitter API – TwitterまとめWiki ) Facebook Query Language (`・ω・´) はてブコメントと関連エントリーの取得 <?php // とあるページのアドレス(任意のアドレスをどうぞ) $sample_url = 'http://www.fenrir.co.jp/'; // はてブの情報取得 $hatena
PHP でグラフを作る (gd/JpGraph編)
インストール手順 (スーパーユーザーで作業) # gzip -dc zlib-1.1.4.tar.gz | tar xf - # cd zlib-1.1.4 # ./configure (ダイナミックライブラリを作りたければコマンドラインオプション --shared を指定しておく) # make # make install # gzip -dc libpng-1.2.7.tar.gz | tar xf - # cd libpng-1.2.7 # cp scripts/makefile.OS Makefile (OS は、インストールする OS のタイプを指定:linux, solaris ...) # make # make install # gzip -dc jpegsrc.v6b.tar.gz | tar xf - # cd jpeg-6b # ./configure --ena
試そう!PHPコードを解析して修正点を指摘·phpca MOONGIFT
phpcaはPHPを静的に解析して小さなミスやコードの修正点を指摘してくれるソフトウェアです。 PHPを書く際にどう書けば小さなミスによるバグの発生を防げるでしょうか。一定の基準に沿って記述することで整然としたコードを実現し、可読性をあげることでバグの混入を防ぐことができます。そこで使いたいのがphpcaです。静的にPHPファイル(ディレクトリ単位も可)を解析し、修正すべき場所を指摘してくれます。 解析処理を実行しています。PHPのパスと、解析したいファイルやディレクトリ名を指定して実行します。解析処理中は随時メッセージが出力されます。 メッセージ例です。タブの利用や行の使い方に関してなどメッセージが表示されます。 ?>がない場合もメッセージが出ます。これはPHPの書き方としては逆かも知れません(確かない方が良いという話なので)。 PHPを書く上でありがちなミスやバグにつながりそうな指摘を
ZendがAmazonクラウドでPHPが使えるPaaS「phpcloud.com」を発表
Develop, Deploy and Manage PHP Applications in the Cloud phpcloud.comは、「Zend Developer Cloud」と呼ばれる開発環境と、「Zend Application Fabric」と呼ばれる実行環境で構成されます。 Zend Developer Cloudは、開発用のサンドボックス機能やデバッグのためのトレース機能、開発者間の情報共有機能などを備えており、無料で提供される予定。 Zend Application FabricはPHPアプリケーションのモニタリングと管理機能を備えており、通常のPHPアプリケーションのまま、負荷に応じたオートスケーリング機能も提供するとのこと。 Zend Application Fabricに対応したアプリケーションは、RackspaceやIBM SmartCloudなど、ほかのクラ
PHPでの画像処理が楽々かつコードも綺麗に書けるPHP5.3用以降用ライブラリ「Imagine」:phpspot開発日誌
Welcome to Imagine’s documentation! ? Imagine, image manipulations reloaded PHPでの画像処理が楽々かつコードも綺麗に書けるPHP5.3用以降用ライブラリ「Imagine」 クラスはネームスペースで分けられて作られており、PHP5.3以降で利用可能。 サムネイル作成や切り取り、図形描画などのよく使われる処理をオブジェクト指向できれいに、あとで見ても分かりやすい状態でコードが書けます。 コード例は次のような感じで、メソッドチェーンを利用して直感的なコードが実現できているのがわかります。 こうしたものでネームスペースを使ったものって無かったので、ネームスペースちゃんとやりたい方にはよさそうですね。 関連エントリ 画像の縮小やトリミングに便利なPHPクラスライブラリ「Zebra_Image」 TwitterやFacebo
スマホ等のモバイル判定が簡単に行えるライブラリ「MobileESP」:phpspot開発日誌
The MobileESP Project: Easily detect mobile web site visitors About MobileESP スマホ等のモバイル判定が簡単に行えるライブラリ「MobileESP」 Android、iPhone、Blackberry等、大量のモバイルデバイスが存在しますが、そうした物の判定を行ってくれる各種言語用のライブラリ群です。 docomo, kddi, vodafoneなんていう記述もあったりしてガラケーも対応してるっぽいです。 対応言語は、PHP, Java, APS.NET (C#), Ruby ,さらにはJavaScript版もあるようです iPhone端末かどうかを調べるには次のようなコードを書きます。 $uagent_obj = new uagent_info(); if ($uagent_obj->isTierIphone =
業務システムに組み込みたい。PHPからExcelファイルを読み書きする·PHPExcel MOONGIFT
PHPExcelはExcelファイルの読み書きを行うPHPライブラリ。PDF/HTML出力にも対応。 PHPExcelはPHP製のオープンソース・ソフトウェア。業務システムを開発していて必ず発生するのがExcelのような表形式ファイルの取り込みだ。大抵はCSVに変換してもらって取り込むだろう。だがユーザが変換を忘れてExcelを読み込ませてしまうことも度々だ。 PHPで出力できる さらにシステムから資料を出力する際にもCSVをダウンロードして手作業で修正して…という手間をユーザにとらせることになってしまう。そんな時代はもう古い、PHPExcelを使ってリッチなExcelファイルをそのままやり取りしよう。 PHPExcelはExcel 2007をベースとし、5.0/95/97以降のファイル形式の読み込みにも対応している。Excel 2003のXMLフォーマットも扱える。さらにOpenOffi
Ustream.tv: ユーザー phpstudy: 徳丸本に学ぶ 安全なPHPアプリ開発の鉄則 2011 - 徳丸 浩, Recorded on 11/09/10. コンピュータ
Closing rec 視聴数: 35 2011/09/10 18:29 Lightning Talk rec 視聴数: 15 2011/09/10 17:21 徳丸本に学ぶ 安全なPHPアプリ開発の鉄則... rec 視聴数: 24 2011/09/10 16:30 Microsoft? PHP ~ 3rd... rec 視聴数: 1 2011/09/10 16:04 phpcon2011a 09/10/11... rec 視聴数: 0 2011/09/10 16:01 phpcon2011a 09/10/11... rec 視聴数: 3 2011/09/10 15:54 phpcon2011a 09/09/11... rec 視聴数: 2 2011/09/10 15:26 phpcon2011a 09/09/11... rec
class.upload.php - verot.net
PresentationSamplesLicenseDownload it!DownloadTranslationsSourceDocs and supportDocumentationFAQForumNewsHelp out!Commercial licensesDonate!Testimonials class.upload.php is a powerful and mature PHP class to manage uploaded files, and manipulate images in many ways. The script is available under a GPL license. more info about the class This PHP script uploads files and manipulates images very easi
ppBlog official
こんばんは、martinです。久しぶりの更新です。寒い日が続きなかなか暖かくなりませんが、春はすぐそこだと思います。今は横浜に住んでいますが、余震はここ1-2日はちょっと落ち着いてきた感じがします(油断は出来ませんが)。原発問題がはやく解決されること、そして被災地の一日でも早い復興をお祈りしつつ。 さてマイナーアップデートです。フォーラムの方で、記事の更新にやたらと時間がかかるというご報告があり、調べてみると、カテゴリー数が多いとその傾向が顕著になることが判明しました。記事投稿時の処理でカテゴリー毎の記事数を更新するというのがあるのですが、その処理がボトルネックになっていました。これを解決するために、category_id.ini.phpという定義ファイルを新たにownerディレクトリに作成するようにして、そこからカテゴリー別の記事情報を取得するようにしました。 utils_admin.p
PHP5.3.7のcrypt関数のバグはこうして生まれた
昨日のブログエントリ「PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)」にて、crypt関数の重大な脆弱性について報告しました。脆弱性の出方が近年まれに見るほどのものだったので、twitterやブクマなどを見ても、「どうしてこうなった」という疑問を多数目にしました。 そこで、このエントリでは、この脆弱性がどのように混入したのかを追ってみたいと思います。 PHPのレポジトリのログや公開されているソースの状況から、PHP5.3.7RC4までこのバグはなく、PHP5.3.7RC5でこのバグが混入した模様です。RC5はPHP5.3.7最後のRelease Candidateですから、まさに正式リリースの直前でバグが入ったことになります。 バグの入る直前のソースは、ここの関数php_md5_crypt_rから参照することができます。以下に、おおまかな流れを図示します。まずはバ
TwitterやFacebookへのログイン機能をこれ1個で実装できるPHPライブラリ「HybridAuth」:phpspot開発日誌
TwitterやFacebookへのログイン機能をこれ1個で実装できるPHPライブラリ「HybridAuth」 2011年08月22日- HybridAuth, Open Source Social-Signle-Sign-On Solution for authentication through Facebook, Twitter, Google, Yahoo, MySpace, LinkedIn, AOL, Vimeo, FourSquare, OpenID and other Identity providers TwitterやFacebookへのログイン機能をこれ1個で実装できるPHPライブラリ「HybridAuth」 Facebook, Twitter, Google, Yahoo, Windows Live, MySpace, LinkedIn, FourSquare, O
phpMyAdminにおける任意スクリプト実行可能な脆弱性の検証 - ockeghem's blog
phpMyAdmin(3.3.10.2未満、3.4.3.1未満)には、リモートから任意のスクリプトが実行可能な脆弱性があります。このエントリでは、この脆弱性が発生するメカニズムと対策について報告します。 概要 phpMyAdminには下記の2種類の脆弱性の組み合わせにより、リモートから任意のスクリプトを実行させられる脆弱性があります。 CVE-2011-2505 CVE-2011-2506 該当するバージョンは以下の通りです。 phpMyAdmin バージョン3.3.10.2未満 phpMyAdmin バージョン3.4.3.1未満 影響を受ける条件は、上記バージョンのphpMyAdminを使用していることに加えて、以下をすべて満たす場合です。 setup/index.phpとsetup/config.phpを外部から実行できる phpMyAdminのconfigディレクトリが存在し、PHP
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IBM Developer
