以下のページに関連して、htmlspecialchars() を使用している場合でも XSS が可能かどうか少し調べてみました。http://www.tokumaru.org/d/20090930.htmlその結果、いくつかのブラウザで文字エンコーディングに Shift_JIS を使用していた場合... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
一見徳丸さんのブログは分かりやすいように思えますが、それは単純な実験により分かりやすいように見えるだけで複数の間違いがあります。その間違いとは意図の取り違い - 誤読 言語の仕様と実装の理解不足 HTTPやPHP仕様の理解不足 セキュリティ対策をすべき場所の理解不足です。(※0) 徳丸さんは非常勤... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
私が5年前(2004年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
何故かあたり前にならない文字エンコーディングバリデーションってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。SJISの問題は、第5回■注目される文字コードのセキュリティ問題 - SQLインジェクションを根絶!セキュア開発の極意:ITproの記事がわかりやすかった。とい... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
文字エンコーディングの変換を行うと、異なる2文字が同じ文字に変換されることがあります。このような文字を重複文字と呼ぶことにします。UTF-8→Shift_JISおよびUTF-8→EUC-JPについて、重複文字を自分用の資料としてまとめてみました。 MacOSX上のPHP5.2.9での実験結果ですが... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
文字コードの問題に正しく対応する前提として,アプリケーションが稼働する基盤ソフトウエアがマルチバイト文字列処理に対応している必要がある。特に問題となるのが,言語処理系とデータベース管理システム(DBMS)である。利用者の使い方が正しくない場合も,ぜい弱性が混入することがある。このため,今回は主要言... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
php, oniguruma, regex追記: どっちが正しいとかそういう話ではないので念のため...。id:ockeghem さんの、「POSIX正規表現の[:print:]は改行やタブがマッチするかどうかがPerlとPHPで異なりますね。Perlはマッチしない、PHPはマッチする。どっちが正... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
初投稿のhnwです。よろしくお願いします。symfonyでescaping_methodをESC_ENTITIESにすると問題がありますよ、という指摘です。symfonyには標準でHTMLの出力エスケープ機構が組み込まれています。これは、テンプレートに渡された値に関して、スカラ、配列、オブジェクト... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
PHPのtrim関数というのは、文字列の先頭および末尾にあるホワイトスペースを取り除く関数です。しかし、実際には全角空白も除去したいよね、ということがよくあります。 さらに内部エンコーディングがUTF-8の場合、全角空白だけ除去すればいいのか?他にも除去すべき文字があるんじゃないか?という疑問がわ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
The requested blog was not found on this server -- unless you requested that of Dan Kogai (小飼 弾).まずは各論から。
Perlはもう終り? | | プログラマ2.0日報 | あすなろBLOG言語仕様が汚い... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
PHPのmb_check_encoding関数が一体何のチェックをしているのか、エンコーディングごとに一通り調べてみます。 まずはSJISとSJIS-win(CP932)について調べてみました。 SJISSJISというのはJISの第一水準&第二水準のエンコーディング形式の一つ、というくらいの理解で... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
なぜPHPアプリにセキュリティホールが多いのか?
第11回 スクリプトインジェクションを防ぐ10のTips
2007年12月17日
大垣靖男
PHP, セキュリティ, プログラミング
前回はスクリプトインジェクションがなくならない理由を紹介しました。それをふまえて今回はスクリプトインジェクションを... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
はじめに 与えられた文字列を含む文書を返す検索機能を実装しているところを想像してください。 検索語として「ページ」が与えられれば、「ページ」という文字列を含む文書を返します。これは特に難しいことではありません。 半角の「ページ」が与えられたらどうでしょう。「ページ」と「ページ」を区別する必... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
『 文字コード・文字化け問題に突っ込んで調査していったらなんとまぁ複雑奇怪な設定項目の多いこと・・・。落とし穴がたくさんあって皆さん注意。この記事はかなり参考になる。ただまぁ,もう全てUTF-8で良いと思うが。 』 [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
これ以外に存在しない。 (゜Д゜)ハァ?ナニイッテンノ? などと思っている時点で貴方は文字化けと向き合っていない。 内部でどういう動きをしているのか正確に把握していない状態で利用するがために、 変換元変換先エンコードを勘違いして、 結果的に文字化けが発生する。 例えばmbstring.intern... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
設定内容の確認のため、以下のスクリプトを保存してブラウザで表示してみてください。「mbstring」セクションの「Master Value」の値がphp.iniの設定値と同じになっているか確認してください。私はコメントを外すのを忘れていて、ちゃんと設定されてないことがありました。 <?php... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
PHP に関する一般的なチュートリアルや参考資料に見られる、Hello World などほとんどすべての例は、限定された形式の英語を「自然言語」での通信に使うことを想定しています。しかし PHP は、それ以上のことができます。適切な方法を使えば、PHP は英語での名前や外来語にときどき現れるアクセ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
文字コードを変えて一気に出力する方法(PHPのob_start) April 18, 2008 10:31 AM written by Gen TaguchiR*PADのメンテナンスしたときに使った方法をメモ。いつも忘れちゃうので。PHPでソースコードはUTF-8で書きたいけど、このページだけSh... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
『 Summary設定すべき項目は以下.;;DisableOutputBufferingoutput_buffering=Off;;SetHTTPheadercharset;default_charset=EUC-JP;;SetdefaultlanguagetoJapanesembstring.lan... 』 [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
動作確認は基本的に、 OS : RedHatLinux7.3 PHP : PHP4.2.1 HTTPd : Apache1.3.24 SMTPd : qmail1.03 BROWSER : Mozilla1.0 表示の確認は Windows2000 - IE6 でも行っています。 [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
