CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になった実装例
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2011年1月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 橋口誠さんから今話題の書籍パーフェクトPHP (PERFECT SERIES 3)を献本いただきました。ありがとうございます。このエントリでは同書のCSRF対策の問題点について報告したいと思います*1。 本書では、CSRFの対策について以下のように説明されています(同書P338)。 CSRFへの対応方法は、「ワンタイムトークンによるチェックを用いる」「投稿・編集・削除などの操作の際にはパスワード認証をさせる」などがあります。一番確実な方法は両者を併用することですが、ユーザ利便性などの理由から簡略化する場合で
PHPでprint_rやvar_dumpよりリッチな折りたたみ出来る変数出力が出来る「kint」:phpspot開発日誌
PHPでprint_rやvar_dumpよりリッチな折りたたみ出来る変数出力が出来る「kint」 2011年01月27日- kint - Project Hosting on Google Code PHPでprint_rやvar_dumpよりリッチな折りたたみ出来る変数出力が出来る「kint」。 ライブラリを読み込むと、d($var) 関数や、Kint::dump($var) メソッドが使えるようになります。 同様のライブラリは過去にありましたが、かなりリッチに表示してくれ、折りたたみも可能なので複雑な連想配列でも見やすくなります。 デモページ printデバッグな方は入れておくと便利かもしれません 関連エントリ print_rをより分かりやすくするprint_a PHPのprint_rを更に分かりやすく視覚的に表示する方法
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
