サーバー側のプログラムでJavaScriptの文字列にデータを出力するケースはよくあります。このような場合、エスケープ処理を行うことが必須です。JavaScript文字リテラルは次のように定義されています。（ECMAScript 5.1） (さらに…)

SQLのリテラルはエスケープが必要であることは広く認知されていると思います。しかし、識別子のエスケープはあまり広く認知されていないように思います。 PostgreSQLの場合、識別子のエスケープAPI（libpqのPQescapeIdentifier）が提供されておりPHPでもpg_escape_identifier()として利用できます。PostgreSQ…

徹底攻略 PHP5 技術者認定 [上級] 試験問題集 [PJ0-200]対応 が手元に届きました。    私はPHP技術者認定機構として試験範囲に対応しているか、例として解説されている問題が適切であるか、などを監修者の1人としてお手伝いさせて頂きました。 試験対策本ですが、PHP開発者が自分の知識のチェック、より深くPHPを知るための本としても適していると思…

やっとPHPのセッションアダプション脆弱性を修正するパッチとプルリクエストを作りました。議論は済んでいるのでパッチを検証、調整してマージするだけです。 PHPに限らず、未初期化のセッションIDを正規のセッションIDとして受け入れてしまうセッション管理機構があります。（Javaとか） サイトで稼働している全てのアプリが正しいセッション管理（ログイン後にセッショ…

PHP  5.5.0がリリースされました。PHP 5.5のリリースにともないPHP 5.3の開発は終了し、今後一年間セキュリティフィックスのみが提供されます。 PHP 5.5.0 ChangeLog PHP 5.5へのマイグレーション PHP 5.3/5.4で動作するPHPアプリケーションのほとんどはそのまま動作しますが、非互換な変更を含むリリースです。Ch…

5月24日（金）に開催されたWeb担当者向けのセミナーの「Webノウハウシェア2013」にBOSS-CON JAPANのPHP Security AlianceのCTOとして講演してきました。その講演のスライドです。 http://www.slideshare.net/yohgaki/boss-conphp Javascriptを利用した内部ネットワークのス…

岡山PHP勉強会で使ったスライドです。

脆弱性やセキュリティ対策について技術的な話ばかりしていたので「それで結局PHPのセッション管理どうすれば良いの？」と思われた方も多いと思います。簡単にまとめます。漏れや追記した方が良い事などがあったらご指摘ください。 (さらに…)

徳丸さんから「ブログ読みました。サンプルも動かしました。問題は分かるのですが、セッションアダプションがないPHPだと、何が改善されるのかが分かりません。教えて下さい 」とあったのでツイッターで返信するには少し長いのでこちらに書きます。まだ直していない脆弱性を詳しく解説するのはあまりよくないのですが、今なら影響を受けるアプリはほぼないと思うので構わないでしょう…

PROVE2エンタープライズ版の先行販売を12/25日までの期間・数量限定で行なっています。PHP5.1/5.2をご利用中でPROVE2を運用・開発に組み込みたいとお考えの方は是非この機会にご購入ください。

PROVE for PHPへ紹介動画を掲載しました。PROVEの動作・操作を3分ほどで見て頂けます。より高解像度で見れるようYouTubeにHD版もアップロードしています。 PROVE for PHPはPHPの内部動作を記録・比較し、新しいバージョンで意図通りに動作しているか確認できるテスト・ツールです。PHPプロジェクトがソースコード管理システムをGitへ…

のんびりしていた訳ではありませんが、PHP 5.4.1のブランチが作られたので慌ててStrict Sessionパッチを改訂しました。 masterhttps://gist.github.com/13796685.4https://gist.github.com/22241965.3https://gist.github.com/2224360 以前、Gis…

廣川類さんが執筆された「PHP徹底構築」を頂きました。3/29日発売らしくアマゾンでも予約受付中の出来たてホヤホヤの本です。書籍イメージも無かったので自分の携帯で撮った写真を載せておきます。 最新版のPHP 5.4にも対応しています。先程届いたばかりなので読むのはこれからですが、内容を簡単に紹介します。 (さらに…)

OSC愛媛2012の「PHP5.4とはどんなPHPなのか？」の資料を公開します。ポイントは以下の通り。 PHP 5.4は基本的にはベターPHP5.3 互換性問題もあるが、一般に致命的な問題はない 全般にPHP5.4は速い 移行を考えている方は早い方が良い（使える期間が長くなる） ディストリビューションのPHPを使う、という選択もある（RHEL6 PHP5.3…

PHPのソースコードのリポジトリがSubversionからGitに移行しました。 https://wiki.php.net/vcs/gitfaq 個人的には、これで色々楽になります。