htmlspecialcharsのShift_JISチェック漏れによるXSS回避策
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2009年10月9日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり このエントリでは、PHPのhtmlspecialchars関数の文字エンコーディングチェック不備をついたクロスサイト・スクリプティング(XSS)脆弱性について、PHP側のパッチが提供されない状況での回避策について説明します。 何が問題か PHPにおいて、XSS対策にはhtmlspecialcharsによって記号をエスケープすることが行われますしかし、htmlspecialcharsを利用していても、Shift_JISの先行バイトを利用して、XSSが発生する場合があります。 例えば、以下のようなINPUTがあ
外国語ならなおさら、できる限りのことをしないと伝わらない – 秋元
PHPの文字エンコーディングの入力チェックを改善する方法について日本語のブログで議論があり、そのパッチを本家に提案したが、却下された、という話が盛り上がっているようです。 バグレポートされた岩本さん自身や、コメント欄やはてなブックマークでは、 PHPの開発陣がダメだ マルチバイトに理解がない外国人がダメだ 残念だ みたいな意見があまりに大勢をしめているので、そのバグレポートを見てみた上で、思ったことを述べたいと思います。 岩本さんのバグレポートを訳すと、こんな感じです 要約: ------------ セキュリティ的な要件により、htmlspecialchars()はバイト列をもっと 厳密にチェックすべきです。XSSするコードが見つかりました。 http://d.hatena.ne.jp/t_komura/20091004/1254665511 [日] 原始的なパッチを書きました。 htt
PFI で2ヶ月のインターンシップに参加してきた - 肉とビールとパンケーキ by @sotarok
8月の頭から先週10月2日まで,Preferred Infrastructure (PFI) でインターンシップに参加してきました. 思えばあっという間でしたが,非常に濃い体験をし,多くのものを得た2ヶ月でした. インターンでなにをやったのか,何を得たのか,自分なりにまとめたいと思います.長文ですみません.結局うまくまとまらなかった... エントリー 日記風(w)に,エントリーから振り返りたいと思います.PFIでインターンの募集が始まった,と聞いたのは, @kzk_mover さんか @ichii386 さんの Twitter でのつぶやきからでした. で,まあPFIは太田さんを知ってたりして,素敵な会社だなーと思ってたこともあり,募集要項は「レベルが高い」とTwitterやブクマでも話題だったので受かるかどうか自信はなかったんですが,学生最後の年だし,今年やらなかったらもうインターンもで
二分木 - sotarokのお勉強
BTreeを書いた.集合型ということで. setと最小値を取り出すminpopのみサポート.木のバランスが崩れたときの再構築とかは考えていない. <?php // BTree.php // set class BTree { public $num = null; public $left = null; public $right = null; public function set($x) { if ($this->num === null) { $this->num = $x; } else { if ($this->num > $x) { $call = "left"; } else if ($this->num < $x) { $call = "right"; } else { return ; } if ($this->{$call} === null) { $this->{
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
