CGI版PHPへのApache Magica攻撃の観察 - ろば電子が詰まつてゐる
先日、徳丸先生のブログ「CGI版PHPに対する魔法少女アパッチマギカ攻撃を観測しました」で挙げられていたアタックが、個人で借りてるさくらのVPSに来ていたのでちょっとまとめます。 Apache Magicaとは何か 詳しいことは徳丸先生のブログに書かれているので、そちらを参考いただくとして。 この脆弱性は、CGI版PHPのCVE-2012-1823およびCVE-2012-2311に起因するものです。これはCGI版のPHPにおいて、GET引数のパラメタがそのままPHPの実行時パラメタとして渡ってしまうというものでした。これにより、GET引数でちょちょいとパラメタを投げることで、php://input を有効にして外部からPHPスクリプトを「食わせる」ことができるようになります。 あるいは2012年に大騒ぎになった、「GET引数に?-sを付けるとソースコード丸見え」という件を覚えている方も多い
Spikaを公開して起こった事 - ヨーロッパで働くIT土方社長のブログ
久しぶりにブログを書きます。 10月の最初に弊社のオープンソースプロジェクト Spika をリリースしました。最初の1週間は全く反応が無く、30個近くのブログにプレスリリースを出したのですが、最終的に掲載して頂いたのは、TechWaveさんとMoongiftさんでした。 この期間は全くユーザーの反応が無かったので、かなり落ち込みました。Spika自体は今年に入ってから着手してまして、社員の誰かの稼働が空いた時に、日頃お客さんの要望に答える事を優先して、自分の好きな様にアプリが書けないフラストレーションを解消するプロジェクトとして進めておりました。オープンソースでモバイルメッセンジャーを作ると言うアイデアは僕のアイデアでして、SNSが流行った後にビジネスSNSが流行した流れがあったので、モバイルメッセンジャーでもビジネス利用の流れがあっても良いのでは無いかと思ったのがきっかけでした。ただ、僕
はじめの言語の賞味期限 - Kato Kazuyoshi
ライブドアブログの PSGI 化の話 は良いはなしだと思う。一方で、私はあんまり Perl が好きじゃないので、10年にわたって生き続けた Perl アプリケーションが、次の10年にむけてアップをはじめているのは、ちょっとしたホラーでもある。 Twitter と Ruby と JVM ライブドアブログが、将来に向けて mod_perl から PSGI + Starlet にかえたように、将来に向けてプログラミング言語をかえる人達も存在する。最近の事例で有名なのは、Twitter の Ruby から JVM 言語群への移行だろう。 OSCON Java 2011 の Twitter: From Ruby on Rails to the JVM では、JVM への移行に至った理由として Ability to handle server workloads A real concurrency
この先生きのこるには
ちょっとずつ複雑なことをやっていっているのですが、正直まだ自分で作っていくイメージがついていません。 加速と減速=イージングタイムラインパネルのフレーム数がでてるとこの下のスライダーでワークエリアの幅を操作できるグラフエディターというのが存在する。値グラフと速度グラフ。グラフを編集するときに触るのはハンドルだけイージングの速度が早くてコマが見える時はモーションブラーをかける(13:40)モーションブラーは色々ごまかせてしまうので最後につけたほうがいい。処理が重いから最初のほうでつけるとプレビューのときにしんどいとかもある(ただプレビューのときだけオフにするとかもできる)
『PHPでオブジェクト指向的FizzBuzz』問題の解説記事~PHPが書けてオブジェクト指向がわかるとイケてるエンジニアになれる!? #php #オブジェクト指向 - CodeIQ Blog
CodeIQ中の人、millionsmileです。 PHPメンターズの後藤秀宣さん出題の『オブジェクト指向的FizzBuzz』問題の解説記事です! PHPは、開発言語別の求人数ランキングで2位であります(出典)。さらには、PHPが書けてオブジェクト指向がわかるエンジニアへの企業ニーズは高いものの、実際は、まだまだ層が薄いということもあり、今回の出題へ、となりました。 ぜひ解説記事を読んで、イケてるオブジェクト指向がわかるPHPエンジニアをめざしてみてはどうでしょう。 以下、問題文です。 FizzBuzz問題を解くアプリケーションを実装しているとします。 ★FizzBuzz問題とは? 1, 2, 3, ・・・という入力に対して3で割り切れる場合は「fizz」、5で割り切れる場合は「buzz」 3でも5でも割り切れる場合は「fizzbuzz」、それ以外は数値をそのまま出力する PHPコードは次
Codeception - PHP Testing framework - PHP unit testing, PHP e2e testing, database testing
User_Centric_Tests Codeception provides high-level domain language for tests. Tests are represented as a set of user's actions. Learn More Browser_Testing Tests can be executed using Firefox, Chrome, Safari or Cloud Testing services with Selenium WebDriver. Browser can be emulated with HTTP-requests through CURL with PhpBrowser. Learn More Framework_Testing Tests can be executed inside a PHP frame
5月から多発しているHP改ざんインシデントをまとめてみた。 - piyolog
概要 5月に入ってから複数の組織でホームページの改ざんが発生していると報じられています。この件に直接関連しているかは不明ですが、IPAや警察庁、トレンドマイクロもホームページの改ざんに関して注意喚起や情報を掲載しています。IPAは2008年に猛威を振るったGumblarによるものや2012年9月18日前後に多発したHP改ざんの規模に匹敵すると発表しています。ここでは5月以降発生している改ざんインシデントについてついてまとめます。 (PDF)外見上変化のないウェブサイト改ざん事案の多発について - @police(警察庁) (PDF)ウェブサイト改ざん事案の多発に係る注意喚起について - @police(警察庁) 2013年6月の呼びかけ「 ウェブサイトが改ざんされないように対策を! 」- IPA JPCERT/CC Alert 2013-06-07 Web サイト改ざんに関する注意喚起 -
The end of Silex (Symfony Blog)
Services Platform.sh for Symfony Best platform to deploy Symfony apps SymfonyInsight Automatic quality checks for your apps Symfony Certification Prove your knowledge and boost your career SensioLabs Professional services to help you with Symfony Blackfire Profile and monitor performance of your apps What about Silex in a Symfony 4 world? During the last few months, and as an exercise when working
とも ちゃ日記(Tomo cha) - 元大学生のOL日記-
わたしの日記は日々の出来事の鬱憤晴らしの毒だし日記がメインです。 相当病んでいます。くだを巻いています。許容出来る方のみのアクセスをお願いします。 また、この日記へのリンクは原則自由にして頂いても結構ですが、 写真への直リンクを張るのはご遠慮下さい。内容に関しては、一切保証致しません。 カテゴリ一覧 Network, Internet, IPv6, DC, NTT, Comp, Linux, Debian, FreeBSD, Windows, Server, Security, IRC, 大学, Neta, spam, 食, 生活, 遊び, Drive, TV, 仕事, 海外用レンタル携帯電話 グローバルセルラーが、SQL インジェクションにやられて、 エクスコムグローバル社のウェブサーバーから10万件以上の顧客クレジットカード情報が流出という記事が出た。 気になってみていたら、あちこちの
Google App Engine for PHP
Run your PHP on Google's Cloud With the new PHP runtime for Google App Engine, you can now run PHP applications on Google's scalable, secure infrastructure. Register an app for the Limited Preview You'll need a Google App Engine account for this step. Sign up to Google App Engine first if you don't have one. Watch the in-depth I/O session ← Watch our live streamed presentation on the PHP runtime a
『PHPとかいう糞言語』
数々の糞仕様の発見で驚きを提供してくれる人気プログラム言語PHP 今日また新たな糞仕様を知ったよ 今回使ったPHPのバージョン $ php --version PHP 5.3.6-13ubuntu3.3 with Suhosin-Patch (cli) (built: Dec 13 2011 18:18:37) Copyright (c) 1997-2011 The PHP Group Zend Engine v2.3.0, Copyright (c) 1998-2011 Zend Technologies <?php $array = array(1,2,3); $ref = &$array[1]; $copy = $array; $copy[0] = 'a'; $copy[1] = 'b'; $copy[2] = 'c'; foreach( $array as $v ) { print
funcall - いけむランド
funcall は任意の関数の前後に callback を追加することができる PECL である。 PECL :: Package :: funcall funcall - A php extension which can add callbacks for any function/method - Google Project Hosting 使い方は以下のとおりである。 実行結果は以下のとおりである。 % php ./funcall.php pre require_once (/Users/fd0/.phpbrew/php/php-5.3.15/lib/php/OS/Guess.php) post require_once (/Users/fd0/.phpbrew/php/php-5.3.15/lib/php/OS/Guess.php)
WebスクレイピングライブラリGoutteで遊んでみる - hnwの日記
新年あけましておめでとうございます。今年もボチボチやっていきます。 本稿ではPHP製のWebスクレイピングライブラリGoutteを紹介します。 Goutte(グット)とは Goutteは必要十分な機能を持ったWebスクレイピングライブラリです。そもそもWebスクレイピングというのは、外部Webページから必要なデータを取ってくるくらいの意味です。つまり、GoutteはWebスクレイピングを簡単に行う道具だと考えればいいでしょう。 具体的には、GoutteはWebクローラとHTMLパーサを組み合わせたようなものです。Cookieやフォームの扱いなどWebブラウザとしての機能は一通り揃っていますし、CSS風の要素指定もできるなど、機能面では他のライブラリと遜色ないように感じます。 さらに僕個人がGoutteに期待している点は、安定性とロングサポートです。Goutteは主要機能をSymfony2お
PHP: PHP 5.3.x から PHP 5.4.x への移行 - Manual
Getting Started Introduction A simple tutorial Language Reference Basic syntax Types Variables Constants Expressions Operators Control Structures Functions Classes and Objects Namespaces Errors Exceptions Generators References Explained Predefined Variables Predefined Exceptions Predefined Interfaces and Classes Context options and parameters Supported Protocols and Wrappers Security Introduction
PHPのJITコンパイラ「HipHop Virtual Machine」、Facebookがオープンソースで公開
PHPのJITコンパイラ「HipHop Virtual Machine」、Facebookがオープンソースで公開 HipHop Virtual Machineは、PHPを高速に実行するためにPHPのコードをC/C++に変換してg++でコンパイルし、バイナリコードにするHiphop compiler(hphpc)と、PHPのインタプリタであるHipHop interpreter (hphpi)を組み合わせたもの。PHPのコードをダイナミックにバイナリコードへと変換することで、高速な実行を目指しています。 コンパイラと同等以上の実行速度へ HipHopはFacebookが開発し、オープンソースとして公開しています。今回のHipHop Virtual Machineも、これらの開発の延長線上にあるものです。 Our experiences with hphpc led us to start e
PHP: Built-in web server - Manual
Warning This web server is designed to aid application development. It may also be useful for testing purposes or for application demonstrations that are run in controlled environments. It is not intended to be a full-featured web server. It should not be used on a public network. The CLI SAPI provides a built-in web server. The web server runs only one single-threaded process, so PHP applications
Bit module for PHP
(Last Updated On: 2018年8月13日)誕生日のメッセージを送ってくださった皆様ありがとうございました! 今日は誕生日ということで多少は趣味のOSSに時間を割いてもバチは当たらないだろう、という事で簡単なPHPモジュールを書きました。PHP勉強会@東京に参加してPHPerバイナリアンの方の発表に触発された事がこのモジュールを書いた動機です。BitモジュールはバイナリアンPHPerの為のモジュールです。 https://github.com/yohgaki/bit 関数は今のところ4つだけあります。 string byte_get(string) – バイナリをHEX文字列に変換 string byte_set(string) – HEX文字列をバイナリに変換 string bit_get(string) – バイナリを0と1の文字列に変換 string bit_set(s
PHP5.4のhtmlspecialcharsに非互換問題
第3引数を指定していない場合の影響前述のように、htmlspecialchars関数の第3引数を指定していない場合、PHP5.3までは、文字エンコーディングがISO-8859-1が指定されたとみなされます。この場合、入力内容にかかわらず不正な文字エンコーディングと判定されることはありません。したがって、文字エンコーディングのチェックが働かない代わりに、エラーになることもありませんでした。 これに対して、PHP5.4の仕様により文字エンコーディングがUTF-8とみなされた場合に、Shift_JISやEUC-JPの2バイト文字が入力されると、高い確率で「UTF-8として不正」というエラーになり、htmlspecialchars関数の出力は空になります。つまり、プログラムが正常に動作しません。 htmlspecialchars関数の第3引数を指定しておらず、内部文字エンコーディングがShift_
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Good PHP ORM Library?
PHP-FIG — PHP Framework Interop Group - PHP-FIG
