カテゴリ: PHP, the Month of PHP Bugs

OSC東京とOSC高知のプレゼン資料の公開

4月 14th, 2010
遅くなって申し訳ないです。昨年末に公開していたつもりでしたが公開設定していませんでした。 このプレゼンを行った後にPythonはCVEが公開されて、最新版では修正されています。   ご意見などございましたら御気軽にコメント、メールをください。 more »

投稿された Security, PHP, Ruby, Perl, Python | 永続的リンク永続的リンク | フィードバックを送信 »

OSC Tokyo プレゼンファイルの公開について - OSC高知以後に

11月 1st, 2009
OSC Tokyo Fallでは多くの方にプレゼンテーションを聞いて頂きありがとうございました。気に入って頂けた方も多かったようで何よりです。何人もの方から「プレゼンファイルは公開するのか?」「プレゼンファイルを公開してほしい」聞いています。もう直ぐ開催するOSC高知で同じプレゼンを行います。ネタばれプレゼンするのも恥ずかしいのでOSC高知の後にプレゼンファイルは公開します。11/14(土) http://www.ospn.jp/osc2009-kochi/四国や近県… more »

投稿された Security, PHP, PostgreSQL, Ruby, Java, Webシステム開発, Perl, Python | 永続的リンク永続的リンク | 2 フィードバック »

書評: CakePHPによる実践Webアプリケーション入門

10月 22nd, 2009
この本は今年のPHPカンファレンスで景品として頂いた本です。 CakePHPと言えば「CakeMatsuriTokyo2009」が10/30, 10/31に開催されます。興味がある方、CakePHPによるWeb開発にさらに磨きをかけたい方は参加されてはどうでしょうか? さて、「CakePHPによる実践Webアプリケーション入門」ですがタイトルの通りの本です。PHPとWebアプリ開発の基礎知っている方なら、この本を読むだけでCakePHPでどのようにWebアプリケーションを作れば良いのか、解る本に… more »
Tags: cakephp, php

投稿された PHP, Webシステム開発, レビュー, 書評 | 永続的リンク永続的リンク | フィードバックを送信 »

PHP 5.2.11用のStrict Session Patch

9月 30th, 2009
PHP 5.2.11用のStrict Session Patchを公開しました。http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2FStrictSessionこれが無いとセッション管理が面倒です。どう面倒なのかは既に何度も書いているので省略します。 more »

投稿された Security, PHP | 永続的リンク永続的リンク | フィードバックを送信 »

PHPが文字エンコーディング攻撃に強い理由 - HTMLエスケープ

9月 29th, 2009
HTMLエスケープと言えば、Perlの場合、<,>,&,",'をエンティティ変換するコードが一番に見つかります。 「perl html escape」でググると一番に見つかったページは次のページです。 http://saboten009.blogspot.com/2008/04/perlhtml-xss.html いつも問題になるのは PHP だけど Perl は問題ないのか、すでに議論し尽くされた問題なのか、PHPer のモラルが低いせいか。 いつも問題にな… more »

投稿された Security, PHP, Ruby, Java, Webシステム開発, Perl, Python, JavaScript | 永続的リンク永続的リンク | フィードバックを送信 »

出力文字エンコーディングのバリデーション

9月 28th, 2009
前のエントリで「書かないブログ」の通り、あまりに書かなさすぎでなんの事やら分からない方も居たと思います。もう少し詳しく書きます。出力バッファとエラーハンドラで出力文字エンコーディングを簡単にバリデーションできます。PHPで出力文字エンコーディングをバリデーションステップ1: エラーハンドラを登録function myErrorHandler($errno, $errstr, $errfile, $errline){ // 出力バッファをクリア ob_end_cle… more »

投稿された Security, PHP | 永続的リンク永続的リンク | フィードバックを送信 »

Rails+Ruby 1.9では不正な文字エンコーディング攻撃で脆弱にならない理由

9月 25th, 2009
詳しく解説されたブログエントリをまっちゃさんのブログで知りました。入力で何もしていない事は知っていたので、出力時のどこかで全体をチェックできるような仕組みになっているのでは?と思っていたのですが、ETagの値を生成するコードの正規表現で例外が発生する、と言う事だそうです。 more »

投稿された Security, PHP, Ruby, Webシステム開発 | 永続的リンク永続的リンク | フィードバックを送信 »

#PHP でもutf8_decodeは使ってはならない

9月 22nd, 2009
Twitterで書いた方が良いようなエントリですが、たまには良いでしょう。 #perl - utf8::decode()ではなくEncode::decode_utf8()を使うべき理由 という記事がありました。PHPにも似た関数、utf8_decodeがあります。PHPでも使ってはなりません。日本人というよりマルチバイト圏で使っている人はほとんどいないはずです。理由はコードを見れば一目瞭然です。     /* All the encoding functions are set… more »

投稿された Security, PHP, Ruby, Webシステム開発, Perl | 永続的リンク永続的リンク | フィードバックを送信 »

何故かあたり前にならない文字エンコーディングバリデーション

9月 10th, 2009
私が4年前(2005年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り上げられていました。/.で取り上げられたので、そこら中のWebサイトとユーザが被害に合うのでは?とヒヤヒヤしたので良く覚えています。不正な文字エンコーディングを利用した攻撃は、文字エンコーディングを厳格… more »

投稿された PHP, Ruby, Java, Webシステム開発, Perl, Python, JavaScript | 永続的リンク永続的リンク | フィードバックを送信 »

Drupal勉強会とその時の資料

9月 7th, 2009
Linux Foundationは全面的にDrupalと呼ばれるCMSに移行したそうです。日本のLinux Foundationも当然、Drupalに移行しています。そこでLinux Foundationの小薗井さんから一度講師をして欲しい、と頼まれていました。PHPカンファレンスにいったので、その次の日の日曜日、9月6日の勉強会に参加してきました。外国人の方が多い、と聞いていたのですが本当に外国人の方の割合が多かった。20名弱(?)ほどのうち4名くらい(?)は外国人の方、日本人の方(?)でも帰… more »

投稿された Linux, PHP, PostgreSQL | 永続的リンク永続的リンク | 1 フィードバック »

1 2 3 4 5 6 7 8 9 10 11 ... 25 >>