Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

PHPに関するasuka0801のブックマーク (7)

  • Windowsに不勉強なクソマカーがWindowsマスターの皆様からお叱りを受けた話 - uzullaがブログ

    Windowsマスターの皆様、申し訳ございませんでした!(挨拶) 一つ前のエントリ( http://uzulla.hateblo.jp/entry/2013/08/12/013207 )、まったく私の不勉強を世間に晒すエントリなのは当人も理解しておりましたが、世間の風は2013も下期にはいったというのにXPばかりつかってきた糞マカーには予想よりもつらいものでした! アイッティー業界、ドッグイヤーなのに、XPとかでがんばってきた無精な人間は殺すべし、慈悲はない、インガオホー! そして、こちらのほうが重要だと理解しておりますが、「とりあえずなんかうまくうごいてなかったらゲイツをなぐるべし」という糞マカーの内輪の感覚を世の中に気軽に発信したばかりに、ギガ盛り牛丼つくったり、冷凍庫の中にはいった写真をツイットするような目で見られる事態になってしまいました。 自分の想像力の欠如、そしてインターネッツ

    Windowsに不勉強なクソマカーがWindowsマスターの皆様からお叱りを受けた話 - uzullaがブログ
    asuka0801
    asuka0801 2013/08/13
    TecNet覗けば同じ悩み抱えた人達が沢山いてそれぞれに3割くらいの確率でまともな回答付いてるよ(白目)
  • phpMyAdmin3.5.8以前に任意のスクリプト実行を許す脆弱性(CVE-2013-3238)

    脆弱性の発生するメカニズム 脆弱性の原因はlibraries/mult_submits.inc.php の以下の部分です。 case 'replace_prefix_tbl': $current = $selected[$i]; $newtablename = preg_replace("/^" . $from_prefix . "/", $to_prefix, $current); 上記再現手順の場合、preg_replace関数の呼び出しは以下の引数となります。 preg_replace("/^/e\0/", "phpinfo();", "test"); preg_replace関数(PHP5.4.6以前)の第1引数はバイナリセーフでないため、NULLバイト以降が無視され、結局以下の引数で呼び出されたのと同じになります。 preg_replace("/^/e", "phpinfo();

    phpMyAdmin3.5.8以前に任意のスクリプト実行を許す脆弱性(CVE-2013-3238)
    asuka0801
    asuka0801 2013/07/18
    null以降が無視されちゃう脆弱性か…まだまだ穴が多いな
  • PHPのdisplay_errorsが有効だとカジュアルにXSS脆弱性が入り込む

    先に、「CVE-2008-5814を巡る冒険」にて、CVE-2008-5814脆弱性があるとdisplay_errorsがOnの環境下でXSS脆弱性となる場合があることを説明しました。しかし、display_errorsがOnの環境下ではCVE-2008-5814脆弱性がなくても、XSS脆弱性となる場合がしばしばあります。 これは、display_errorsによるエラーメッセージ表示がHTMLエスケープされていないことが原因です。簡単なサンプルを以下に示します。 <?php ini_set('display_errors', 1); // display_errorsを有効にする $a = array(); // 配列の生成 $index = $_GET['x']; // 配列のインデックスを得る $b = $a[$index]; // 配列の要素にアクセス このスクリプトに、x=<sc

    PHPのdisplay_errorsが有効だとカジュアルにXSS脆弱性が入り込む
    asuka0801
    asuka0801 2013/04/04
    エラー内容でも楽しいXSS
  • 0.1を10回足してみた結果PHPが神と言う事が判明しました

    0.1を10回足してみた。 PHPの場合 PHPでの結果、1 //——————————————————————————– JavaScriptの場合 JavaScriptでの結果、 0.9999999999999999 //——————————————————————————– Python(Ver2.7)の場合 Pythonでの結果、0.9999999999999999 //——————————————————————————– Rubyの場合 Rubyでの結果、1.0 //——————————————————————————– Haskellの場合 Haskellでの結果0.9999999999999999 //——————————————————————————– 結論、PHPは神、その次、Ruby

    0.1を10回足してみた結果PHPが神と言う事が判明しました
    asuka0801
    asuka0801 2012/10/31
    floatを勝手にintにしちゃうPHPは神らしい
  • 5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!

    こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>

    5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!
    asuka0801
    asuka0801 2012/02/16
    これはまあサニタイズうんたらとセキュリティの大御所が騒ぎそうだなw
  • プロキシ経由でもリアルIPを取得するPHPコードスニペット:phpspot開発日誌

    紹介されているコードを使うとIPアドレス偽装が実装できてしまうおそれがあるので注意してください。プロクシ由来の他のヘッダも利用した上で注意して使う必要があります Get Real IP address of the Visitor using PHP | Expert PHP Developer プロキシ経由でもリアルIPを取得するPHPコードスニペットが公開されています。 リアルIPを集計したい局面はありますから覚えておいてもよさそうですね。 特に難しいコードではありませんが、サクッとやりたい時にはコピペで使えますね。 知らなかった場合はこういうヘッダが入ってくるのだと覚えておいてもよいかも 追記:フォロー記事をいただきました IP アドレスが偽装可能か確認してみよう - A Day in Serenity @ Kenji 関連エントリ OAuth対応のPHPTwitterに投稿するス

  • コードやテストを保存したら自動でPHPUnitを実行しGrowlへ通知する環境 | Act as Professional

    TDDやってますか?テストを書いて、実行。コードを書いて、テストを実行。PHPUnitコマンドを1日に何度も叩いているPHPerに朗報です。コードとテストを修正して保存をすると、それを検知して、自動的にPHPUnitを走らせて、結果をGrowlで通知する環境をつくりました。これで、TDD Boot Camp in Tokyo #tddbcもテンポ良くすすめられますね。 gem watchr インストール PHPerには申し訳ないのですが、Rubyのgemを使います。 gem install watchr growlnotify インストール Growlへの通知をするgrowlnotifyをインストールします。 Growlをダウンロードして、Extraディレクトリに含まれている、growlnotifyをインストールしてください。 環境をcloneする hirocaster/phpunit-s

    コードやテストを保存したら自動でPHPUnitを実行しGrowlへ通知する環境 | Act as Professional
    asuka0801
    asuka0801 2011/07/07
    【メモ】これいいね
  • 1