文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2010年9月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPカンファレンス2010にて「文字コードに起因する脆弱性とその対策」というタイトルで喋らせていただきました。プレゼンテーション資料をPDF形式とslideshare.netで公開しています。 文字コードのセキュリティというと、ややこしいイメージが強くて、スピーカーの前夜祭でも「聴衆の半分は置いてきぼりになるかもね」みたいな話をしていたのですが、意外にも「分かりやすかった」等の好意的な反応をtwitter等でいただき、驚くと共に喜んでいます。土曜にPHPカンファレンスに来られるような方は意識が高いというの
limonadeを試してみる第一歩 | UCWD-Studio
今ちょうどPHPでの開発案件があって、CakePHPなどのWAFを使うほどの規模の案件じゃないんだけど、生PHPでプログラムを作成して無秩序なプログラムができるのは問題ですよねということで、いわゆるPHP製の小規模WAFを探してみた際に見つけたのがlimonade。 公式サイトによるとRuby製のSinatraやCampingなどからインスパイアされたフレームワークらしい。 以下、学習テストを兼ねて簡単に触ってみます。 githubからv0.4.6のzip版をダウンロード。他にもtgz版があったり、gitで落としてきたりが可能です。 公式サイトでは以降、 libフォルダを自分のプロジェクトに入てね。 自分のアプリケーションのメインとなるphpファイルにrequire_once vendors/limonade.php (or require_once lib/limonade.php)と書
真面目にエロサイトを作ってみた【プログラマ編】 - BLOG|ASTRODEO
東京都台東区で黙々とウェブでサービスを開発している株式会社アストロデオのホームページです。
php変態文法最速マスター - milieuの日記
適当なタイトルをつけてしまったが,最近code golfをやっていたので,その記録を付けていきたいと思います.code golfというのは,なにか問題が与えられてその答えを出力するプログラムをどれだけ短くかけるかという競技(?)です.たとえば「Hello, world!を出力せよ」みたいな感じです.使用できる言語は本家のほうはruby,perl,python,phpでshinhさんの運営しているほうは大体なんでもありそうです.私は仕事でphpを使っているのでphpで参戦しました.(phpしか使えないとも言う)で、いくつか問題を解いてみたけどphpはrubyとかperlに比べると長くなりがちのようです.理由としては・標準入力を受け取るのが面倒・変数が2byte・関数名が長い・などが考えられると思います.しかし得意な分野もあって、それは単純出力系(上のHello, world! 問題とか)と文
Let's make the web faster - Google Code
PHP performance tips Author: Eric Higgins, Google Webmaster Recommended experience: Beginner to Intermediate PHP knowledge Don't copy variables for no reason. Sometimes PHP novices attempt to make their code "cleaner" by copying predefined variables to variables with shorter names. What this actually results in is doubled memory consumption, and therefore, slow scripts. In the following example, i
We are Locutus
All your standard libraries will be assimilated into our JavaScript collective. Resistance is futile. Welcome to Locutus, where the boundaries of coding languages blur. We’re a dedicated collective developers on a mission to explore the possibilities of porting standard libraries from various programming language (Go, Ruby, PHP, C) to JavaScript. Our journey is one of discovery, innovation, and so
Openpear
Openpear is a PEAR Repository Channel and Subversion Hosting Service. since November 2008 以前からお使いですか? 以前の Openpear をお使いだった方は、以下のコマンドを実行する必要があります pear channel-update openpear.org チャンネルを登録する pear channel-discover openpear.org 利用可能なパッケージをリストする pear remote-list -c openpear パッケージをインストールする pear install openpear/package_name バージョンや安定性を指定してパッケージをインストールする pear install openpear/package_name-1.0.0 pear insta
ジョブキューサーバ Gearmand を PHP から使ってみた - KAYAC engineers' blog
もうすぐ子供が生まれます。春菜です。 今やってるプロジェクトで新機能追加を検討していて、Perl で有名な「TheSchwartz のようなジョブキューシステムとか試してみたいなぁ。」 なんて話してたらちょうど弊社 村瀬 が社内 TIPS 会で Gearmand について話してたので使ってみました。 Gearmandって何? 元々は Perl で書かれたジョブキューシステムで、つい最近 C でリライトされたようです。 クライアントライブラリとして CPAN はもちろんのこと、PHP や Python などたくさん用意されていて活発的に活動されているみたいです。(期待大!!) PHP では PECL と PEAR のクライアントライブラリが利用でき、本家サイトでも PHP のサンプルが多く紹介されていてそのまま試す事ができて楽チンです。 インストールと起動 ローカルの Mac にインストール
PHP classes
My free PHP classes Here you can download some of my PHP classes: htmlSQL - Version 0.5 htmlSQL is a experimental PHP class which allows you to access HTML values by an SQL like syntax. This means that you don't have to write complex functions (regular expressions) to extract specific values. (12 examples included) Click here to download the class (~42 KB / 1078 downloads). RSS74 - Version 0.3
htmlspecialcharsのShift_JISチェック漏れによるXSS回避策
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2009年10月9日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり このエントリでは、PHPのhtmlspecialchars関数の文字エンコーディングチェック不備をついたクロスサイト・スクリプティング(XSS)脆弱性について、PHP側のパッチが提供されない状況での回避策について説明します。 何が問題か PHPにおいて、XSS対策にはhtmlspecialcharsによって記号をエスケープすることが行われますしかし、htmlspecialcharsを利用していても、Shift_JISの先行バイトを利用して、XSSが発生する場合があります。 例えば、以下のようなINPUTがあ
Shift_JIS では、htmlspecialchars() を使用しても XSS が可能な場合がある - t_komuraの日記
以下のページに関連して、htmlspecialchars() を使用している場合でも XSS が可能かどうか少し調べてみました。 http://www.tokumaru.org/d/20090930.html その結果、いくつかのブラウザで文字エンコーディングに Shift_JIS を使用していた場合、XSS が可能なことを確認しました。 テストコードは以下の通りです。リンクにマウスポインタを乗せると埋め込んだ Javascript が実行されます。 <?php $_GET['a1'] = "\xf0"; // \xf0 - \xfc で可能 $_GET['a2'] = " href=dummy onmouseover=alert(document.title) dummy=dummy"; header( "Content-Type:text/html; charset=Shift_JIS
PHPでYahoo!のOAuth対応APIにアクセスしてみよう!
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、IDプラットフォーム技術の近藤です。 前回の記事ではYahoo! JAPAN のOAuthが採用しているSession Extensionについて簡単に紹介をしました。 そこでSession Extentionの一連のフローを開発者が意識することなく、OAuthに対応したYahoo! JAPANのAPIを使ってWebアプリを実装できるようにYahoo! JAPANデベロッパーネットワーク上にPHP SDKを公開しました。 今回はSDKを利用してマイ・オークション表示(ウォッチリスト・開催中のオークション)APIにアクセスする簡単なサンプルコードを作っていきたいと思います。 はじめに,Yahoo!デベロッパーネットワーク
WEB開発備忘録 HTMLの特定のタグだけエスケープしない / PHP Smarty
Smartyのescape修飾子は変数のエンコードやエスケープを行います。 たとえばテンプレートファイル(*.tpl)側で とすれば、 ディフォルトでHTMLタグがエスケープされます。 Smarty escape修飾子 しかし、特定のタグだけは許可したい場合など ユーザに入力させたデータの表示時などはあるでしょう。 そんな場合は、、、 特定タグだけEscapeしないSmarty関数 しかし、、上記URL情報の通りやってもなんかうまくエスケープしてくれない。 許可したくないタグまでエスケープしなかったり、逆にしちゃったり。 どうやら正規表現がおかしいような。 で、Google先生から以下のブログ記事にたどり着く 【PHP】特定のタグだけescape(エスケープ)しないSmarty関数 素晴ラシス。 このソースをmodifier.htmlescape.phpというファイル名でプラグインとして保
PHPでnewと同時にメソッドチェーンする方法 - Unknown::Programming
最近ようやくPHP5をちょこちょこと触ってるわけなんですが、折角メソッドチェーンサポートされたのに何故かnewと同時にできない罠。 これなんか動いても良さそうなのになぁ。直感的だし。 <?php (new Foo)->bar(); 嘆いてもしょうがない。動かないものは動かないので、ちょこちょこと調べてたらこんなのが そこで以下のような関数を定義する。 <?php function ref($obj) { return $obj; } この関数はみたとおり渡された値をそのまま返す関数だが、これを使うことで以下のようにメソッドチェーンできるようになる。 <?php ref(new Hoge)->doSomething(); というバッドノウハウっぽい話。 PHPでコンストラクタからメソッドチェーンする方法 - id:anatooのブログ やっぱこれくらいしかないよねー。 でも標準関数だけでやり
Natural-wave.com
Natural-wave.com This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Anti Wrinkle Creams Parental Control Accident Lawyers Migraine Pain Relief Best Mortgage Rates Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy|Do Not Sell or Share My Personal Information
PHP5.3.0がついにリリース
こんにちは。小川です。 PHP5.3.0がついにリリースされました。新機能の紹介もかねて色々と使ってみたいと思います。 PHP5.3.0では様々な機能追加などが行われています。詳しくはphp.netを参照してください。 いくつかピックアップしてみます。 ●名前空間のサポート ●遅延静的束縛 ●無名関数 ●パフォーマンスの向上 特に名前空間や無名関数などの機能は期待していた方も多いのではないでしょうか。説明するよりもまずは動かしてみたいと思います。 まずはインストールです。php.netからソースをダウンロードしてインストールします。 $ wget http://jp2.php.net/get/php-5.3.0.tar.gz/from/jp.php.net/mirror $ tar zxvf php-5.3.0.tar.gz $ sudo mv php-5.3.0 /usr/local/l
drry+@-> PHP で Apache 風 ETag の生成
コメント ( 2 ) (o) 2005-01-16T03:27:11+09:00 @810 ナイスです。 doConditionalGetは単一のタイムスタンプだけからETagを生成しますが、それは汎用性のためなんです。ローカルファイルならばApache風のETagを生成してもよいですが、DBの特定のテーブルの更新日時をLast Modifiedとしたいという需要も一般的にありますからね。 drry 2005-01-16T03:48:54+09:00 @825 なるほど、なるほど。確かにその通りですよね。ETag が自由度の高い書式なのも納得できます。 サインイン TypeKey サインイン OpenID LiveJournal username 代表的な OpenID URL http://profile.typekey.com/member name/ ( TypeKey ) http
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PHPで大規模ブラウザゲームを開発してわかったこと
http://limonade.sofa-design.net/
http://www.ryo.com/2005/05/23/9/