10万円で使い勝手とセキュリティのアドバイスをしようと思います - ぼくはまちちゃん!
こんにちはこんにちは!! 今日、友達の HolyGrail くんとカレーを食べてる時に、こんなことを言われました。 「自分がもし、はまちちゃんに何か依頼するとしたら、 自社のサービスをがっつり使い込んでもらって、色々なアドバイスしてもらったりとかかなー。 それで10万円とか、どうだろう?」 …なるほど!いいですね! もしかしたら、そういう需要ってあるのかも? 何日か前に「ふつうのformをつかいたい」っていうスライドを発表したけれど、 なんでここに書かれてあるようなことが、よくあるんだろうって思っていたし。 うーん。 例えば、UIデザイン。 企業では、デザイナーにだいたい全部おまかせすることって多いですよね。 でも多くのデザイナーって元々は「見た目の美しさ」についての勉強や仕事を、主にしてきた人達だと思うので、 彼らに「使い勝手の良さ」まで期待しても、どうしても専門外なことが多いように思う
5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>
高木浩光@自宅の日記 - ASPとかJSPとかPHPとかERBとか、逆だったらよかったのに
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけないねえ」と以前から言われてきた。 ソフトウェア製品の脆弱性は、指摘があればパッチが提供されたり修正版に差し替えられたりするが、書籍の脆弱性はどうか。正誤表が差し込まれるとか、回収する措置がとられるかというと、それは望めそうにない。言論には言論で対抗すればよいということになるだろうか。 久しぶりにいくつかの書籍について調べてみた。先月園田さんの日記などで比較的評判良く紹介されていた2冊を読んだ。 山本勇, PHP実践のツボ セキュアプログラミング編, 九天社, 2004年6月 GIJOE, PHP
PHPとセキュリティの解説書12種類を読んでSQLエスケープの解説状況を調べてみた
この投稿はPHP Advent Calendar 2013の13日目の記事です。昨日は@tanakahisateruのPHPが糞言語なのはどう考えても参照をポインタだと思っているお前らが悪いでした。 現在twitterのタイムラインで、史上空前のSQLのエスケープブームが起こっています。 オレオレSQLセキュリティ教育は論理的に破綻している | yohgaki's blog 「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」 - Togetterまとめ エスケープとプレースホルダをめぐる議論 - Togetterまとめ SQLインジェクション対策としてのプリペアドステートメントとエスケープについての議論 - Togetterまとめ IPAの「安全なSQLの呼び出し方」が安全になっていた | yohgak
エクスプロイト - Wikipedia
エクスプロイト (英: exploit) とは、情報セキュリティにおいて、脆弱性を利用してコンピュータを攻撃するための具体的な手段、または、脆弱性を利用して標的を攻略することをいう[1]。 エクスプロイトとは、コンピュータのソフトウェアやハードウェアの脆弱性を利用し、コンピュータに異常な動作をさせるために書かれた、スクリプトまたはコードである。脆弱性を検証するための実証コード(Proof of concept:PoC)を指すこともある。また、前記のようなスクリプトやプログラムを用いて攻撃すること自体もエクスプロイトと呼ばれる[2]。そのため、前記のようなスクリプトやプログラムについては、エクスプロイトコード(exploit code)と呼んで区別する場合もある。エクスプロイトコードは、コンピューターに害をなす不正プログラムの一種であるため、エクスプロイトコードを表示、取得、記述、保存等した
Japan Vulnerability Notes
JVNVU#93188600: UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性 [2024/03/21 16:00] JVNVU#93571422: Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性 [2024/03/21 11:30] JVNVU#90671953: Sangoma Technologies製CG/MG family driver cg6kwin2k.sysにおけるIOCTLに対する不十分なアクセス制御の脆弱性 [2024/03/21 11:00] JVNVU#99690199: 三菱電機製MELSEC-Q/LシリーズCPUユニットにおける複数の脆弱性 [2024/03/18 18:00] JVNVU#96145466: 複数の三菱電機製FA製品
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
