Zend Frameworkの参考URLの一つになっている方の著書です。 著者のブログ、個人サイト(?)やOSS公開サイトを見て「この人すごいなぁ」と思っていたら「自分で作るblogツール」と言う本を執筆されているではないでか。早速Amazonで1-Clickしてしまいました。 Amazonのコメントには知り合いのコメントもありますね。細かい事は気にしないの…

とりあえず簡単に検索してみた結果です。リリース情報のページばほとんどで中身のあるページはまだあまり無いですね。お勧めがあったら教えてください。 英語 http://framework.zend.com/ (本家） http://framework.zend.com/manual/en/　（英語マニュアル） http://framework.zend.com/…

最近このサーバのPHPをPHP 5.1.3RC1相当バージョンアップしていたのですが、バージョンアップ前のPHP 5.0.5(+パッチ多数）と比べると明らかにApacheがクラッシュする回数が増えていました。とりあえずPHP5.1.3RC3相当にバージョンアップしました。NEWSファイルを見ると分かりますがRC1->RC3だけでもかなりの変更・修正があります…

久々にPostgreSQLの話です。プリペアードクエリのprepare文のエラーで次のようなエラーに出くわす事があります。 ERROR: inconsistent types deduced for parameter $8 DETAIL: timestamp without time zone versus text パラーメタの番号は振り直している、と思…

追記：このエントリは古い情報です。今のHTMLエスケープの情報は以下の新しいエントリを参照してください。 https://blog.ohgaki.net/php-html-escape (さらに…)

3/8にZend Framework 0.1.2リリースされています。 解凍すると10MBくらいになります。ドキュメント、テストコードなども含まれているのでフレームワーク本体は2MBくらいのようです。さっと見た程度ですがよく出来ていそうな感じです。PHP5以上が必要です。多分PHP5.1でないと動作しないように思えます。（確かめていません） http://d…

Strictセッション管理パッチのダウンロード数がやっと?100を超えました。 PHP5用のパッチなのが一番の問題なのでしょうか?非常にダウンロード数が少ないように思えます。私はこのパッチはセキュリティ上かなり重要なパッチだと思っています。 PHP4のパッチが必要なのかな? 枡形さんが作ってましたっけ? 関連： http://blog.ohgaki.net/…

これはコードブログに書こうと思ったらTypePadのパスワードが分からなくなっていました。ブラウザに記憶させたはずなんですけどね....　とにかく以下のSECUNIAアドバイザリは（今度こそ）本当に間違っています。 # 前にCVSの更新が異常だったため勘違いしていた件がありました。 # 今度はSECUNIAが勘違いする番ですね。 TITLE: PHP "mb…

追記：現在のPHPでは$_SERVER['PHP_SELF']はクエリ文字列（?以降のクエリパラメータ）を含みません。しかし、index.php/<script>alert(1)</script>/aaa/bbb とすることは可能です。PHP_SELFと同様の変数は以下です。 $_SERVER['PATH_INFO'] $_SERVE…

5.1.0で直されていたはずなんですけど。記憶が確かなら。 え?という感じなのですがPHP 5.1.1, PHP 5.1.2にはシステムが初期化する配列にGLOBALSをチェックするコードを入れてなかったようです。自分では試してないですが簡単にチェックできるのでこのアドバイザリが間違っていることはないでしょう。

追記：PHPエスケープ関連の検索でこのエントリを参照されたと思います。PHPでのエスケープ全般については以下のエントリを参照してください。 https://blog.ohgaki.net/php-string-escape セキュリティmemoにaddslashesよるエスケープ処理でSQLインジェクションが可能なるという記事を見つけました。 私のセミナーを…

来週にZendの無料セミナーがあるようです。 17日の金曜日には福岡であるようです。 ・Zend Studio 5.1 による開発技法 ・Zend Studio Enterprise によるデバックとチューニング 17日と言えばPostgreSQLカンファレンス2006がある（私も講師の一人）ので東京にはいます。もうほとんど目一杯らしいですがPostgreS…

PHPのセッションID管理がいまひとつであることは http://blog.ohgaki.net/index.php/yohgaki/2005/12/24/strict_sessioncric にも書きました。PHP 5.1.2用のパッチですがsqliteと一緒にコンパイルするとsqlite用のvalidationパッチが含まれていないのでビルドできませんで…

CVS HEADでは昨年11月にallow_url_includeオプションが追加されています。allow_url_fopenからinclude/require文の設定を分離するオプションです。 このオプションを付けると万が一、 $dir = $_GET['dir']; ..... ..... include($dir.$file); の様なコードがあっても…

PHP 4.4.2がリリースされました。 * Prevent header injection by limiting each header to a single line. * Possible XSS inside error reporting functionality. * Missing safe_mode/open_basedir chec…