元スレ【PHP】下らねぇ質問はID出して書き込みやがれ 77

php覧 / PC版 /

みんなの評価 : ○

前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ

/ 要望・削除依頼は掲示板へ / 管理情報はtwitterで

751 = :

お前らって、グーグルの面接で
「ニューヨークにはピアノの調律師は何人いるか？」
って質問されたら、答えられなくて発狂するの？

752 = :

>>751
それがどうかしたの？

753 = :

なんで唐突にGoogleの話が出てくるんだか
スレ違いな上に頭悪いな

754 = :

お前らってグーグルで検索できない
質問されると発狂するじゃん

755 = :

例えばどれ？

756 = :

いつから人力検索スレになったんだよ
はてなにでも池

760 = :

動作効率を求めるならネイティブ関数
使いやすさや開発の効率など機能の利便さを求めるならライブラリ

764 = :

あってるよ

768 = :

>>765
目的がSQLインジェクション対策でないからしなくていい
DBには生のデータを入れるのが基本
XSS等を意識するのは取り出す時
取り出す時に忘れるかもしれないから入れる時にエスケープする人もいるが
取り出す時にエスケープするのは当たり前なので
穴を防ぐ目的としてはいいかもしれないが根本的な解決にはなってない

769 = :

>>765
それはPHPが進化する過程の中での話し

770 = :

マユツバってなに？

774 = :

>>771
金庫に鍵をさしっぱなしで一緒に置いておいても
問題がないならいいんじゃないの？
俺ならhiddenにいれずに簡易に済ませるならセッションに入れる

775 = :

でもセッションの値ってたいてい
クッキーにも書き込んでるよね。

クッキーの値はクライアント側から読めるわけで、
もしアタッカーが、クッキーの値を読み取って、
自動的に連続入力するスクリプトをrubyで書いたら
やっぱりアカウント10万個とか取られてしまう。のでは？

776 = :

>>775
クッキーに記録しなければいいだけじゃん

777 = :

>>775
すまん、高度すぎて言ってる意味が分らん
クッキーに入ってるのはセッションIDだろ？
画像チャプタってたいがい都度生成だろうからその都度ID変わるし
都度セッションに値セットするなら仮に違うセッションID使われたとしても
セッションの参照先に値が無いからとおらないだろ

779 = :

つかなんでルビー?

780 = :

>>773
>>774
たくさんのアドバイスありがとうございます！
今独学でPHPを勉強してるんですが
アプリケーション作成時にXXSやSQLインジェクション、XSRFなど
どんな時にセキュリティを施せばいいかがすごい難しかったりします。
もう少し頑張って勉強してみます。
本当にありがとうございました！

781 = :

いや、そのhiddenの値は、
ユーザーが手で入力すべき値と
同一なの？

783 = :

わからんから、とりあえず
配列の要素を1万個に増やして
F5しまくって実験

784 = :

CAPTCHAで「12345」と出るとしよう。
hiddenに入れる値（以下、キー）に「12345」としたら何の意味もない。これは論外。

じゃあ、推測困難な計算方法で「12345」が導けるようなキーはどうだろう。
たとえば「23456」とか（これだと推測容易なんで、実際はもっと難しい計算を使うべき）。これは悪くない。

これを発展させて、crypt($salt . '12345')とかをキーにする。これも悪くない。まず破られないだろう。

ベストは、キーには「12345」とはまったく無関係の値を入れておき、キーと「12345」の関連付けはDBなどで行なう方法。
これだとDBのデータを知らないと絶対に両者を関連付けられない。

セッション・キーを発行しているなら、もうキーにできる値はあるので、新規に発行する意味もない。
キーとしてセッション・キーを使い、CAPTCHA生成時に「12345」をセッション変数としてサーバーに保存しておけばいいわけだ。

785 = :

ちょい説明が足りなかったかな。
> これを発展させて、crypt($salt . '12345')とかをキーにする
この場合、キーから'12345'は算出不能になる。
答え合わせは、ユーザーの入力した「12345」を同じ方法でcryptして、両者が一致するかで行なう。

787 = :

>>786
でも文字コードが原因だったら
「毎回」エラーが出るのでは？

792 = :

>>791
つど偉そうに聞いていいスレ

793 = :

http://jp2.php.net/manual/ja/pdo.connections.php
データベースへの接続に成功すると、PDO クラスのインスタンスがスクリプトに返されます。
この PDO オブジェクトが存在する間、接続がアクティブであり続けます。

パスワードわざと間違えたのを入れて、もいちど var_dump($dbh);

794 = :

>>781
そう考えてました。
掲示板の新規登録のところを作ってたんですが
個人情報を扱う場所じゃないから
そこまで厳しくしないでいいかなと思ってました・・
明らかに無知ですよね・・
もう少ししっかり勉強します。
>>784
丁寧な説明本当にありがとうございます！
色んな方法があるんですね。

アプリケーションでも様々な物があり
個人情報を登録してもらうフォームや掲示板の新規登録のフォームなど
各々でどこまでのセキュリティを施すべきかの判断が
本当に難しく感じます。
しっかり勉強しようと思います。

795 = :

ちなみにどうやって？

796 = :

>>795
先日PHPサイバーテロの技法という本を買って
今それを読みながらwebで一つ一つを調べています。

XSSにしてもXSRFにしても言葉と意味はなんとなく理解できたんですが
ただどんな状況下でそういった事が起こりえるのかが
理解できにくく苦労しています。
私自身以前はwebデザイン関係で働いてましたので
情報漏えいに対する危機感は理解しているつもりです。
それで今いい勉強の仕方を考えているんですがなかなか難しいですね。

私事ですいません。

797 = :

http://raven-seo-tools.com/
ここのサイトなのですが壁紙は全て同じ色なのに
一部分だけ明るくなってます。
どうやってそれをやっているのでしょうか？
自分も真似をしたくて質問させてもらいました。

798 = :

>>796
良い方法です。頑張って。
>>797
PHPと関係無し

799 = :

>>797

>>1

800 = :

>>797
seoのために２ちゃんで宣伝ごくろうさまです作者様