PHP Advent Calender用のエントリです。 PHPのセッション管理は非常に簡単です。セッションをsession_start()で開始して$_SESSION配列を使うだけです。便利で簡単なセッションモジュールですがセッションアダプションに脆弱であるため、一般に言われてる「ログインする時にはsession_regenerate_id()を呼ぶ」コー…

私の会社で開発・販売しているPROVE for PHPを更新し、PDOオブジェクトに対応したPROVE for PHP 1.0.3の配布を開始しました。PDOオブジェクトに対応したので幅広いアプリケーションで利用できます。PROVEは非商用の個人利用の場合、無償で利用できます。問題などございましたらツイッターやメールなどでフィードバックを頂けると助かります。…

久しぶりにブログを更新すると色々書きたくなるものですね。ということでまだこのブログでは紹介したことがないDOMベースXSSのオープンソースツール、DOMinatorを紹介します。最近の商用ツールも類似の機能をサポートしています。 http://code.google.com/p/dominator/ DOMベースXSS： JavascriptはDOMを利用し…

まだまだ完成度を高める必要がありますが、PHPのリグレッションテストツールのPROVE for PHPのダウンロードを開始しました。 http://www.provephp.com/ PHPのテストスイートの設定を忘れていてPDOオブジェクトのサポートできてない事に直前に気がついたのでPDOには対応していません。これは出来るだけ早急に対応します。 Dokuw…

PROVE for PHP 0.4.0をリリースしました。 IOをプラグイン化（将来PostgreSQLなどに対応） prove_seek_function_call()を追加 ハードリンクによるコピーに対応（高速化） prove_rename_function()の無効化（PHP 5.3のZend Engineの仕様変更により関数名変更はメモリエラーが発生…

昨年のPHPカンファレンスで紹介したPORVE for PHP 開発版の公開を始めました。PROVE for PHPはこんなテストが出来ます。 PHPをアップデートしてアプリに影響が無い事を検証する PHPアプリをアップデートしても以前と同じように動作する事を検証する 使い方もとても簡単です。 テストケースの作成はブラウザからアプリを利用するだけ ロードバラ…

遅くなって申し訳ないです。昨年末に公開していたつもりでしたが公開設定していませんでした。 PostgreSQLユーザのためのSQLインジェクション対策 このプレゼンを行った後にPythonはCVEが公開されて、最新版では修正されています。 ご意見などございましたら御気軽にコメント、メールをください。

OSC Tokyo Fallでは多くの方にプレゼンテーション（SQLインジェクション"ゼロ"のPostgreSQL利用法 - 今更聞けないSQLインジェク ションの現実と対策）を聞いて頂きありがとうございました。気に入って頂けた方も多かったようで何よりです。 何人もの方から「プレゼンファイルは公開するのか？」「プレゼンファイルを公開してほしい」聞いています。…

明日のOSC東京Fallでは「SQLインジェクション"ゼロ"のPostgreSQL利用法 - 今更聞けないSQLインジェク ションの現実と対策」と題したセッションを日本PostgreSQLユーザ会の講師として話をさせて頂きます。 SQLインジェクションはとうの昔に枯れた話題と思われていますが、古くても今の問題です。何年か前、日本PostgreSQLユーザ会の…

PHP 5.2.11用のStrict Session Patchを公開しました。 http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2FStrictSession これが無いとセッション管理が面倒です。 どう面倒なのかは既に何度も書いているので省略します。(本当は面倒なだけではないのですが.. ）最新リリースの追随がい…