Shift_JIS では、htmlspecialchars() を使用しても XSS が可能な場合がある - t_komuraの日記
以下のページに関連して、htmlspecialchars() を使用している場合でも XSS が可能かどうか少し調べてみました。 http://www.tokumaru.org/d/20090930.html その結果、いくつかのブラウザで文字エンコーディングに Shift_JIS を使用していた場合、XSS が可能なことを確認しました。 テストコードは以下の通りです。リンクにマウスポインタを乗せると埋め込んだ Javascript が実行されます。 <?php $_GET['a1'] = "\xf0"; // \xf0 - \xfc で可能 $_GET['a2'] = " href=dummy onmouseover=alert(document.title) dummy=dummy"; header( "Content-Type:text/html; charset=Shift_JIS
mb_check_encoding() の代替関数 - t_komuraの日記
これまでに挙げた文字コードについて、正規表現を使用して mb_check_encoding() の代替用の関数を書いてみました。ある程度、妥当なものになっているとは思いますが、間違い等に気付いた方がおられましたら、ご指摘ください。 UTF-8 については、RFC3629 を参考にしました。各文字は4バイト以下、冗長な表現、サロゲートペアの領域を FALSE と判定します。 <?php function is_valid_encoding( $str, $encoding ) { switch ( $encoding ) { case 'ASCII' : $regex = '/(?:' . '[\x00-\x7f]' // ASCII (mb_check_encoding) // . '[\x00\x09\x0a\x0d\x20-\x7f]' // ASCII (mb_detect_enco
PHPの設定をセキュリティの観点から改善·PHP Security Consortium MOONGIFT
PHPは広く数多のWebサーバでインストールされ、使われている。設定ファイルは殆どそのままで使われていることが多いのではないだろうか。だが4.2より前のバージョンではregister_globalsのデフォルトがOnになっていたなど、利便性とセキュアであることとの関係で潜在的な問題はあるかも知れない。 php.iniのセキュリティチェックに 見直すのはPHPの設定ファイルであるphp.iniだが、多数の設定があるのでぱっと見では設定の善し悪しが分かりづらいかも知れない。そこで使うのがPHP Security Consortiumだ。 今回紹介するオープンソース・ソフトウェアはPHP Security Consortium、PHPのセキュリティ設定を見直すソフトウェアだ。 PHP Security ConsortiumはPHPで作られたソフトウェアで、phpinfo()から得られる情報を使っ
PHPベースのグラフ生成ライブラリ·pChart MOONGIFT
システムに入れたデータは何らかの形で出力される。多いのはグラフや表だろう。表は数値を細かく判断する場合には便利だが、もっと感覚的に肌で違いを感じられるのはグラフの方だ。そのため、グラフ作成に関するニーズは多い。 曲線を描くグラフ グラフを生成するライブラリは数多く存在するが、使い勝手や機能面で物足りない思いをしている人もいるだろう。そこでこちらをご紹介。 今回紹介するオープンソース・ソフトウェアはpChart、PHP向けのグラフ生成ライブラリだ。 pChartは折れ線グラフ、面グラフ、棒グラフなどを画像として生成することができる。細かな指定ができ、各要素が離れた円グラフ、なんてことやポインタに画像を使ったりすることもできる。もちろん複数の要素を同時に表示したり、折れ線グラフと面グラフを合わせるなんてこともできる。 コメント付き PHP単独で作られているので、PHPでシステムを構築している場
Qdmail - PHP::Mail Library , Quick and Detailed for Multibyte
hal456トップページ 注意! 本業が忙しいため、私は開発・更新には関わっていませんし、ご質問にも対応しておりません。 下記のURLの方々が、引き継いでいただいているので、どうぞそちらをご利用ください。 ライセンスに従えば改変は自由ですが、本ホームページでのダウンロードは停止いたします。使い方などについては、参考にされる方もいるかも知れませんので、当面の間、残しておきます。 長らくのご愛顧、誠にありがとうございました。 自分が作成したプログラムが、多くの方に便利に使われたことは、とてもうれしかったです。 2018/1/28 深謝 QdmailをPHP7.0に対応させる Qdmailシリーズのgithub版です。PHP5.4対応 qdmailを新しめのPHPでも動くようにした Qdmailとは Qdmailとは、PHPのマルチバイト環境(特に日本語)にて、「文字化けしない」「簡単に"デコメ
PHP暗号化ガイド:CodeZine
はじめに 理想的な世の中では、「暗号化」や「セキュリティ」といった言葉は存在すらしないでしょう。しかし現実の世界は完全とはほど遠いものです。ですから、ソフトウェア開発者はアプリケーションのセキュリティ対策に相応の時間をかけなければなりません。暗号化はSSL/TLS、証明書、デジタル署名などと同様、セキュリティというパズルの1ピースにすぎません。この記事では、PHPを使って最も一般的な暗号化アルゴリズムを実装する方法を説明します。PHPデフォルトの暗号化機能に加えて、多様な暗号化ライブラリやパッケージの使用法を幅広く紹介していきます。 この記事のサンプルコードでは、textfile.txtという小さなテキストファイルを使用します。このファイルには次のようなプレーンテキストが含まれています。 For every difficult and complicated question ther
[PHP]オープンソースのパスワードハッシュ化状況調査 | ブログが続かないわけ
こないだ書いた下記のエントリでいろいろなコメントを頂いた。 ■パスワードを平文で管理するのはダメだ ■MD5は復号できる!? で、結局どんな風にハッシュ化すれば安全なのか僕なりに理解した。 まず、平文は問題外。 次にハッシュ化の方法だけどMD5やSHA1の場合、総当りチェックに弱いというのは割と有名な話とのこと。かといって、MD5やSHA1のハッシュ化そのものが悪いからMD5を使うなということではなく、適切なsaltをくっつけてハッシュ化すれば良いらしい。 さらに、できればそのsaltも固定値ではなくランダムな方がよい。 そういう観点から、メジャーなPHPのオープンソースのパスワードハッシュ化の状況を調査してまとめてみた。 調査結果 [フォーマット] ■オープンソース名 バージョン ハッシュ方式 saltについて パッケージ内の確認ソース [調査結果] 2007/11/06 ■osComm
![[PHP]オープンソースのパスワードハッシュ化状況調査 | ブログが続かないわけ](https://cdn-ak-scissors.b.st-hatena.com/image/square/2302e44c95c7e474fefb218540004f95dc47a4bb/height=288;version=1;width=512/https%3A%2F%2Fimaging.jugem.jp%2Ftemplate%2Fimg%2Fjugem_og-image.png)
PHP コード最適化 Best Practices 63+ - カタコト日記
みたいなタイトルの記事を Digg 経由で発見。チートシート代わりにと思い超訳。*1 A Software Architect PHP 最適化 ベストプラクティス! 01. static にできるメソッドは static として宣言しよう。(4倍速い) 02. echo の方が print より速い。 03. echo '文','字'; (カンマ区切り)の方が、'文'.'字' (ドット連結)より速い。 04. ループの最大値は、ループ「内」ではなく「前」にセットしておこう。 05. 大きい配列のような変数は unset() してメモリを解放しよう。 06. マジックメソッド(例: __get, __set, __autoload)は使用を避けよう。 07. require_once はハイコストなのです。 08. include や require でファイルはフルパスで指定しよう。 09
PHPにおけるグラフ描画とアルゴリズム:CodeZine
はじめに本稿で扱うグラフ 「グラフ」という語を広辞苑(第5版)で引くと、載っている意味は次の3つです。互いに連関する二つまたは二つ以上の量の間の関係を表す図形。例えば関数fに対し、xがfの定義域を動くときの点(x, f(x))の軌跡をfのグラフという。またx、yに関する方程式をみたす点(x, y)の軌跡をその方程式のグラフという。全体に対する割合を示したり、数量の大小を比較したりするための図表。円グラフ・棒グラフなど。写真を主にした雑誌。画報。 しかし、本稿で扱うグラフは、この3つのいずれでもありません。国語辞典には載っていないことが多いようですが、計算機科学や数学において「グラフ」と言えば、図のような、点(pointあるいはvertex、node)と点を結ぶ線(lineあるいはarc、edge)の集合を指します。 グラフはプログラミングにおいてよく用いられる基本的なデータ構造の一つです
CAPTCHA機能を用いたWebフォーム入力を実装する3つのユーティリティ | OSDN Magazine
現在多くのWebフォームでは、個々のユーザが行うべき登録手続きをコンピュータによって自動処理されるのを防止する機構として、CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart:コンピュータと人間を区別する完全に自動化された公開チューリングテスト)と呼ばれるシステムが利用されている。 ここで言うCAPTCHAとは、Webフォームの入力フィールドにインプットさせる文字と数字からなるテキストを意図的に歪ませたりバックグラウンドにノイズを混入させたイメージ(画像)として画面上に表示させることで、人間だけがイメージとして示されたテキストを読み取れるようにしたシステムである。本稿ではPHP WebサイトにCAPTCHA機能を追加する場合を想定し、そうした用途に利用可能な3つのアプリケーション
PHPでファイルアップロードのプログレスバーを実装するには - Enjoi Blog
PHPでアップローダーを作るときに、プログレスバーをどうにか実装できるか調べたら、どうやらできるっぽかったので試してみた。 ちなみにできると言っても制約がいくつかあるみたい。まず第一に、 PHP 単体ではファイルのアップロード状況を把握したりすることはできない。そのため PECL APC エクステンションをインストールする必要がある。 また PHP のバージョンは 5.2 以上。 PECL APC エクステンションのバージョンは 3.0.13 以上。 そのため、うちの CentOS5 も FC6 もパッケージでは対応できなかった。 環境は以下の通り。 php-5.2.5 PECL APC-3.0.16 ※追記 実はこの APC はスレッドセーフじゃないらしく、一つのアップロードが完了する前に次のアップロードが開始されると、現在進行中のキャッシュがクリアされるらしいので注意。 APC エクス
PHPでPDFを出力するOSSのライブラリ「TCPDF 3.0」 | エンタープライズ | マイコミジャーナル
伊Tecnick.com社は27日、オープンソースのPHP用PDF生成ライブラリ「TCPDF 3.0」をリリースした。ライセンスにはGNU LGPLを適用、商業ベースを含め自由に再配布が可能。PHPのバージョン (4 / 5) に応じた、異なるパッケージが用意されている。 今回のリリースでは、PHPで画像を扱うためのライブラリ「GD Graphics Library」が対応するすべての画像フォーマット (GD, GD2, GD2PART, GIF, JPEG, PNG, BMP, XBM, XPM) に対応するよう、イメージ出力関連のコードが大幅に書き換えられた。あわせて画像のリサイズ機能も実装されている。ほかにも、CMYKカラーのサポート、ページのグループ化、オブジェクトの透過表示、JPEG品質の指定といった機能を提供する関数が追加されている。 TCPDFは、FPDFをベースに拡張された
PHP Development 10 tool
A simple list of tools for modern PHP development. There are alternatives to most of the tools, but I'll list native PHP tools wherever possible. 1. PHPUnit PHPUnit is a testing framework belonging to the xUnit family of testing frameworks. Use it to write and run automated tests. Start using PHPUnit 2. Selenium RC Selenium RC can be used in conjunction with PHPUnit to create and run automated tes
Runtime error - PHP Commons
Error message : Directory is not found or not writable (DATA_DIR) Directory is not found or not writable (DIFF_DIR) Directory is not found or not writable (BACKUP_DIR) Directory is not found or not writable (CACHE_DIR) Site admin: whitestar Copyright © 2007-2023 whitestar. All Rights Reserved. Icons powered by famfamfam. PukiWiki 1.5.0 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL
O-One
O-One - 12 min - Feb 13, 2008 ogi () Rate: O-One Download video - iPod/PSP | Embed video Download is starting. Save file to your computer. If the download does not start automatically, right-click this link and choose "Save As". How to get videos onto the iPod or PSP. <embed id="VideoPlayback" src="http://video.google.com/googleplayer.swf?docid=1867253308321132337&hl=en&fs=true" style="width:400
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.cpa-lab.com/tech/032
FusionCharts Free - Animated Flash Charts & Graphs for ASP, ASP.NET, PHP applications
CodeIgniter ユーザガイド 日本語版
http://bobchin.net/php-mode/php-mode.html
gotAPI.com