Jirka Kosek は、フリーランスの XML コンサルタントであると同時に、プラハの University of Economics で教職に就いています。これまで 10 年以上、XML のコンサルタントとトレーニングを行ってきました。OASIS (DocBook TC、RELAX NG T... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
PHP, セキュリティ「htmlspecialcharsのパッチ私案」に書いた件、バグレポートを出してみましたが、「すでに同じバグレポートがあるだろ」という理由により、あえなく却下されました。せめて先方が「同じ」とみなしているレポート番号ぐらいは示してほしくて、そのようにコメントしましたが、jan... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
以下のページに関連して、htmlspecialchars() を使用している場合でも XSS が可能かどうか少し調べてみました。http://www.tokumaru.org/d/20090930.htmlその結果、いくつかのブラウザで文字エンコーディングに Shift_JIS を使用していた場合... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
Twitterで書いた方が良いようなエントリですが、たまには良いでしょう。#perl - utf8::decode()ではなくEncode::decode_utf8()を使うべき理由 という記事がありました。PHPにも似た関数、utf8_decodeがあります。PHPでも使ってはなりません。日本人... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
一見徳丸さんのブログは分かりやすいように思えますが、それは単純な実験により分かりやすいように見えるだけで複数の間違いがあります。その間違いとは意図の取り違い - 誤読 言語の仕様と実装の理解不足 HTTPやPHP仕様の理解不足 セキュリティ対策をすべき場所の理解不足です。(※0) 徳丸さんは非常勤... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
Rubyの場合Rubyの場合は、Ruby1.9にて文字エンコーディングの取り扱いが大幅に改善され、RubyでCGIプログラムを記述した場合早期に文字エンコーディングの検証が入るようになっています。たとえば、以下のような、クエリ文字列を受け取って表示するだけの簡単なプログラム。#!/usr/loca... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
私が5年前(2004年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
何故かあたり前にならない文字エンコーディングバリデーションってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。SJISの問題は、第5回■注目される文字コードのセキュリティ問題 - SQLインジェクションを根絶!セキュア開発の極意:ITproの記事がわかりやすかった。とい... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
|
なぜPHPアプリにセキュリティホールが多いのか?第27回 見過ごされているWebアプリケーションのバリデーションの欠陥2009年6月22日大垣靖男PHP, セキュリティ, 文字エンコーディング, バリデーション, mbstring12今回解説するWebアプリケーションのバリデーションの欠陥はPHP... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
これまで2回にわたってWebアプリケーションにおける入力値検証とセキュリティ対策の関係を説明してきた。入力値検証はセキュリティ上の根本的対策ではないが,保険的な対策として効果が期待でき,特に制御コードや不正な文字エンコーディングによる攻撃対策には有効であることを説明した。今回は,Webアプリケーシ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
前回,入力値検証をセキュリティ対策として実施すべき理由を説明する中で制御文字や不正な文字エンコーディングの問題を指摘した。今回は,その具体例として「ヌルバイト攻撃」と「冗長なUTF-8によるディレクトリ・トラバーサル」を説明する。制御文字悪用の代表格「ヌルバイト攻撃」ヌルバイト攻撃とは,ASCII... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
文字エンコーディングの変換を行うと、異なる2文字が同じ文字に変換されることがあります。このような文字を重複文字と呼ぶことにします。UTF-8→Shift_JISおよびUTF-8→EUC-JPについて、重複文字を自分用の資料としてまとめてみました。 MacOSX上のPHP5.2.9での実験結果ですが... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
文字コードの問題に正しく対応する前提として,アプリケーションが稼働する基盤ソフトウエアがマルチバイト文字列処理に対応している必要がある。特に問題となるのが,言語処理系とデータベース管理システム(DBMS)である。利用者の使い方が正しくない場合も,ぜい弱性が混入することがある。このため,今回は主要言... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
初投稿のhnwです。よろしくお願いします。symfonyでescaping_methodをESC_ENTITIESにすると問題がありますよ、という指摘です。symfonyには標準でHTMLの出力エスケープ機構が組み込まれています。これは、テンプレートに渡された値に関して、スカラ、配列、オブジェクト... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
|
The requested blog was not found on this server -- unless you requested that of Dan Kogai (小飼 弾).まずは各論から。
Perlはもう終り? | | プログラマ2.0日報 | あすなろBLOG言語仕様が汚い... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
PHPのmb_check_encoding関数が一体何のチェックをしているのか、エンコーディングごとに一通り調べてみます。 まずはSJISとSJIS-win(CP932)について調べてみました。 SJISSJISというのはJISの第一水準&第二水準のエンコーディング形式の一つ、というくらいの理解で... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
準備ができたので、さっそく正規化の実験をしてみましょう。例として、「ページ」の「ペ」を取り上げます。 カタカナの「ヘ」にはいわゆる全角と半角の2種類があります。半濁点(マル)にはU+309a(KATAKANA-HIRAGANA SEMIVOICED SOUND MARK)とU+309c(COMBI... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
PHP, 絵文字, 文字コード, 文字化け, SJIS
10:43:57, by admin , 97 words, 23878 views
i-mode(iモード)やezwebの絵文字処理はこれが一番簡単。
(ノ・・)ン。。。。。。(((●コロコロッ
ケータイページを作る上で、
悩み... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
『 文字コード・文字化け問題に突っ込んで調査していったらなんとまぁ複雑奇怪な設定項目の多いこと・・・。落とし穴がたくさんあって皆さん注意。この記事はかなり参考になる。ただまぁ,もう全てUTF-8で良いと思うが。 』 [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
これ以外に存在しない。 (゜Д゜)ハァ?ナニイッテンノ? などと思っている時点で貴方は文字化けと向き合っていない。 内部でどういう動きをしているのか正確に把握していない状態で利用するがために、 変換元変換先エンコードを勘違いして、 結果的に文字化けが発生する。 例えばmbstring.intern... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
