文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2010年9月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPカンファレンス2010にて「文字コードに起因する脆弱性とその対策」というタイトルで喋らせていただきました。プレゼンテーション資料をPDF形式とslideshare.netで公開しています。 文字コードのセキュリティというと、ややこしいイメージが強くて、スピーカーの前夜祭でも「聴衆の半分は置いてきぼりになるかもね」みたいな話をしていたのですが、意外にも「分かりやすかった」等の好意的な反応をtwitter等でいただき、驚くと共に喜んでいます。土曜にPHPカンファレンスに来られるような方は意識が高いというの
モダンなPHPの開発環境の構築方法 - 肉とビールとパンケーキ by @sotarok
via. はてなブログ 誰か書くんじゃないかと思いつつ、まあ、お決まりのパターンとしてPHP版も書いてみよう。 PHPのこと見てると、書き方とか取り巻く環境ってあんま変わってないなーとか思いつつ、そして何がモダンなんだっけ?新しければいいのか?って話だけど。 一般的な OSX 環境および Linux 環境における、モダンな PHP 開発環境の構築方法についてまとめてみた。最新のPHPとxdebugがあれば十分。 PHP 5.3.2 のインストール ソースから入れてた時期もあるけどやっぱパッケージが楽だな。。オフィシャルじゃないリポジトリを使えばパッケージで入れられる。 pearとpeclは、パッケージ入れるときに一緒に入れちゃう。 pear や pecl そのものは、PHPよりも頻繁にバージョンアップされるし、パッケージになってたりなってなかったりの管理が面倒だから基本的にpear/pec
まずは覚えておきたい『Zend Framework』10のクラス
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2023年5月時点の調査。
symfony入門(1):symfonyで始めるPHPフレームワーク
はじめに 本連載では、PHP上で動作するアプリケーションフレームワークであるsymfonyでアプリケーション開発を行う方法について紹介します。本連載で扱う内容は、次のとおりです。 symfonyフレームワークの特徴 symfony利用のための環境設定手順 Hello, Worldアプリケーションの作成 データベースと連携したアプリケーションの作成 その他、役立つsymfony関連のテクニック 導入の今回は、まずsymfonyの特徴と環境設定手順、「Hello, World」アプリケーションの作成までを紹介します。 対象読者 PHPの基本構文は一通り理解しているが、フレームワークを利用したことはないという方を対象としています。 必要な環境 symfonyは、PHP5とWebサーバがインストールされている環境で利用可能です。本稿ではWebサーバとしてApache2.2を、OSにWindows
PHPのsort関数は相当おかしい - hnwの日記
追記(2009/02/28 15:35):ソートする配列の要素が数値または数値形式の文字列のみの場合は、<、==、>が推移律を満たすので、この記事のような矛盾は起こりません。念のため。 オヤジギャグがこらえられなくなったら立派なオヤジだと思います。それはさておき、今日はPHPのsort関数が不思議な挙動をする例を紹介します。 sort関数の紹介 sort ― 配列をソートする 説明 bool sort ( array &$array [, int $sort_flags= SORT_REGULAR ] ) この関数は配列をソートします。この関数が正常に終了すると、 各要素は低位から高位へ並べ替えられます。 PHP: sort - Manual マニュアルをみる限り普通のソート関数です。省略可能な2番目の引数の意味は次の通りです。 sort_flags オプションの 2 番目のパラメータ s
SSIを使わずにPHPを使うのは止めたほうがよい? - 戯れ言日記
SSIは負荷が高いのは毎回リクエストの度にHTMLをパースしたり内部でサブリクエストを発行してたりするみたいなんで、負荷が高いとか遅いとかってのは利便性のためには仕方がないんじゃないの? それに、負荷を気にするのならSSI以外のものを使えばいいじゃない? なんて個人的には思ってる。でも、「フレームの代わりにPHPを使う」についてはPHP万能説のようで前々から疑問に思っていたので気分転換&もやもやとした疑問を払拭するためにテストしてみた。結果はなんとなく予想はついてるんだけど、予想が大きく裏切られる事を期待! まず、テストに使ったのはσ(ーー)がメインで使ってるマシン、もう大分古いんだけど構成は以下の通り。 Hardware Overview: Machine Name: Power Mac G4 Machine Model: PowerMac3,5 CPU Type: PowerPC G4
おさかなラボ - vimにPerlとPHPの辞書を登録するぞ
vimはCtrl+pで直近の単語を補完してくれるが、関数なんかも補完してくれると便利だ。しかしなんかしらんけど辞書は自分で用意しなきゃならんらしい。そのノウハウを公開する。なおvim7持ってる人はomni completeというもっと便利な機能があるらしい(ただしPerlは未対応か。詳細は末尾に記載)。 下準備 ~/.vim/以下にdictを掘っておく。~/.vim/dict/でいい。ほんとはどこでもいいんだけど分かりやすいからそこにしちゃおうよ。 PHPの場合 まずphpの辞書を作ってみよう。phpは全関数を出力する機能があるらしいのでそれを使う。この方法、ネタ元があったのだが分からなくなった。ごめん。 まず辞書ファイルを作る。場所はどうでもいいんだが、~/.vim/dictに辞書ファイルを集めることにしてしまおう。 php -r '$f=get_defined_functi
書籍「PHPによるデザインパターン入門」の原稿テキストを公開します - Do You PHP はてブロ
ご報告が遅くなりましたが、去る2009/09/14に絶版となりました orz 出版から3年ですか。自分が最初に書いた本(雑誌ではなく)で、いろいろな思い入れはあったんですが、やっぱりCakePHPなどのフレームワークとかJavascript関連などの"今、熱い"技術の本と違って、"ブーム"が去るのが早いですね。。。 製作に関わっていただいた方、また書店で手に取っていただいた方、ありがとうございました。 で、これに伴い、校正前の原稿テキストを(一部を除き)順次公開しようと思います。基本的に『原稿テキストをHTML形式に変換したもの+図画そのまま』ですので、誤字/脱字、説明不足の箇所もあるかも知れませんがご了承ください。挿絵はありません。 http://www.doyouphp.jp/book/book_phpdp.shtml とりあえず、第1章、第4章のTemplateMethodを公開しま
Re:PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い
Re:PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い ネタ元:PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い PHPのXSSとSQLインジェクションの解説が書かれています。丁寧に書かれていますのでぜひ一読ください。ただ、読む上で1点注意することがあります。 XSSはそれほど単純じゃない! ネタもとのXSS対策済みのソースコードの1行目で次のようなコードがあります。 <form action="<?=$_SERVER['PHP_SELF']?>" method="get"> 実はここにもXSSの脆弱性が含まれています。次のようなURLでアクセスされた場合、任意のスクリプトを実行することが出来ます。 http://www.example.jp/ example.php/%22%3E%3Cscript%3Ealert(document.co
PHPのstream wrapperをさわってみた - おぎろぐはてブロ
PHPには、ストリームラッパーというファイルなどへのアクセスを抽象化するしくみがあります。普段よく使う http:// とかがそうです。 組み込みで提供されるストリームラッパーは以下です。 ファイルシステム HTTP と HTTPS FTP と FTPS PHP 入出力ストリーム 圧縮ストリーム データ (RFC 2397) Glob Phar PHP: Supported Protocols and Wrappers - Manual それぞれどういうふうに使うものなのか試してみました。 ファイルシステム /path/to/file.ext relative/path/to/file.ext fileInCwd.ext C:/path/to/winfile.ext C:\path\to\winfile.ext \\smbserver\share\path\to\winfile.ext f
FirePHPでPHPプログラミングを便利にする方法 | エンタープライズ | マイコミジャーナル
FirePHP enables you to log to your Firebug Console using a simple PHP method call. WebサイトやWebアプリケーションを開発する言語としてPHPは人気がある。世界最大規模のソーシャルネットワークサービスFacebookもサービスの開発にはPHPを採用している。提供するサービスが大規模になると一部をC/C++化して高速化をはかることもあるが、開発エンジニアの集めやすさやアジャイル性の良さもあって主要言語のひとつであり続けている。 HTML/CSS/JavaScriptをベースにWebサイトやWebアプリケーションを開発する場合、開発ツールとしてFirebugやブラウザベンダが提供しているデバッグツールが利用できるが、PHPのようにサーバサイドで動作するタイプの言語ではそう簡単にはいかない。しかしいくつか便利な
PHP基礎文法最速マスター
PerlとRubyの文法一覧がとても良くまとまっていたので、便乗してPHPでもやってみました。 Perl基礎文法最速マスター – Perl入門〜サンプルコードによるPerl入門〜 Route 477 – Ruby基礎文法最速マスター 他の言語をある程度知っている人はこれを読めばPHPの文法を何となく理解できると思います。 間違い、不足等々あれば教えて下さいm(_ _)m バージョン PHP5.3系がリリースされていますが、ここではPHP5.2系を対象としています。 1.基礎 コードブロック PHPコードは「<?php」という開始タグから始まります。終了タグは「?>」です。HTMLにPHPコードを埋める際は終了タグを使いますが、ライブラリのようにPHPコードのみを記述する際は終了タグを省くことが慣例となっています。 終了タグを省く理由について id:Kiske さんに解説頂いています。ありが
プログラムをブラッシュアップするテクニックを学ぼう! プログラミング未経験から始めるPHP入門~応用編(9)
シリーズ最終回となる今回は、前回までで作成したECサイトのプログラムに、関数、トランザクション管理、Smartyなどを用いて、最後のブラッシュアップを行います。なお、本連載では、PHPまたはプログラミング初心者の方を対象に、PHPを用いたWebアプリケーションの作成方法を説明していきます。 はじめに 本連載では、PHPまたはプログラム初心者の方を対象に、PHPを用いたWebアプリケーションの作成方法を説明していきます。 今回は、応用編ECサイトのカート機能を作成します。PHPの環境構築に関しては第2回を参照ください。 対象読者 プログラミングが初めてでこれから学習する予定の方 プログラミングの経験はあるがPHPが初めての方 これまでの連載 初級編 第1回「プログラムってなんだろう?PHPってどういうもの?」 第2回「XAMPPをインストールして開発環境を整えよう!」 第3回「変数の扱い方を
PHPコード最適化Tipsのウソと本当(解説) - カタコト日記
PHP コード最適化 Best Practices 63+ - カタコト日記 前回は、元記事に一定の敬意を表して、項目とかはあえてそのままにしてたんですが、 自分としても気になる部分が多々あったので、少しだけ調べ直して優先度&解説つけました。 独断と偏見ですが。ヽ(´ー`)ノ 検証はしてません。ごめんなさいごめんなさい。 優先度A、B、C、不明、非推奨に分けてみました。どうぞつっこんでください。 長いよ、今回は。 優先度A. 頻度も高いし使えそう - 6つ 01. static にできるメソッドは static として宣言しよう。(4倍速い) 正しくは、static なメソッドには、OOP のルールに従ってちゃんと static 宣言をつけよう! ってとこでしょうか。本来そうでないものを無理に static にしちゃえって話ではないはず。*1 × <?php public function
PHP 5.3.0 の日付処理クラスと関数の追加・変更について - t_komuraの日記
PHP 5.3.0 が公開されたのは結構前ですが、日付関係の処理について、PHP 5.3.0 でクラスや関数の追加・変更がありましたので、気になった部分だけ調べてみました。 新しく追加されたクラスとメソッド PHP 5.3.0 では、以下のクラスが追加されました。 DateInterval - 日付の間隔を表わす DatePeriod - 日付の期間を表わす DateTime クラスには、以下のメソッドが追加されました。 DateTime::add() - 年月日時分秒の値を DateTime オブジェクトに加える DateTime::createFromFormat() - 指定した書式でフォーマットした新しい DateTime オブジェクトを返す DateTime::diff() - ふたつの DateTime オブジェクトの差を返す DateTime::getLastErrors()
ひきぷろぐ - FC2 BLOG パスワード認証
ブログ パスワード認証 閲覧するには管理人が設定した パスワードの入力が必要です。 管理人からのメッセージ 閲覧パスワード Copyright © since 1999 FC2 inc. All Rights Reserved.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://twitter.com/moriyoshit/status/25318776798
なぜ '795e459' が double に見えてしまうのか? - trial and error
IDEA * IDEA
ときどきの雑記帖 i戦士篇 2010年1月(中旬)