私的良スレ書庫
不明な単語は2ch用語を / 要望・削除依頼は掲示板へ。不適切な画像報告もこちらへどうぞ。 / 管理情報はtwitterでログインするとレス評価できます。 登録ユーザには一部の画像が表示されますので、問題のある画像や記述を含むレスに「禁」ボタンを押してください。
元スレ【PHP】下らねぇ質問はID出して書き込みやがれ 77
php スレッド一覧へ / php とは? / 携帯版 / dat(gz)で取得 / トップメニューみんなの評価 : ○
レスフィルター : (試験中)
お前らって、グーグルの面接で
「ニューヨークにはピアノの調律師は何人いるか?」
って質問されたら、答えられなくて発狂するの?
「ニューヨークにはピアノの調律師は何人いるか?」
って質問されたら、答えられなくて発狂するの?
>>751
それがどうかしたの?
それがどうかしたの?
動作効率を求めるならネイティブ関数
使いやすさや開発の効率など機能の利便さを求めるならライブラリ
使いやすさや開発の効率など機能の利便さを求めるならライブラリ
>763
あってる。というか、可能な時はいつでもprepareを使え。
DB接続のパフォーマンスがどうしても問題になる場合のみ、しぶしぶmysql関数。
それ以外の場合はPECL::PDO(現在はPECLではなく標準ライブラリ)。
きちんとクラス構成ができていれば、書き換えはそれほど手間ではないので、迷ったらとりあえずPDOで書く。
あってる。というか、可能な時はいつでもprepareを使え。
DB接続のパフォーマンスがどうしても問題になる場合のみ、しぶしぶmysql関数。
それ以外の場合はPECL::PDO(現在はPECLではなく標準ライブラリ)。
きちんとクラス構成ができていれば、書き換えはそれほど手間ではないので、迷ったらとりあえずPDOで書く。
>765
その本を燃やせ。というか、出版社を燃やせ。あり得ない。
「エスケープは、出力先に応じて適切なものを選ぶ」のが基本。
出力先はSQLなのだから、SQLとして安全になるようなエスケープを選ぶ必要がある。
DBに応じたエスケープ関数があるはずだからそれを使え。
たとえばMySQLならmysql_real_escape_string。SQLiteならsqlite_escape_string。
http://jp2.php.net/manual/ja/refs.database.php
とりあえずそれだと、'NULL OR TRUE'という入力には確実に無防備になる。
WHERE ID = $id
というプログラムに上記文字列がぶち込まれた時にどう動作するか考えてみるといい。
DROPやDELETE、UPDATEと組み合わせた文も上手くやれば発行可能かもしれん。
HTMLの実体参照はよりによってセミコロンを多用するしな。
ユーザー管理テーブルが書き換えられ、RDBMSのroot権限を奪取される事もじゅうぶんあり得る。
その本を燃やせ。というか、出版社を燃やせ。あり得ない。
「エスケープは、出力先に応じて適切なものを選ぶ」のが基本。
出力先はSQLなのだから、SQLとして安全になるようなエスケープを選ぶ必要がある。
DBに応じたエスケープ関数があるはずだからそれを使え。
たとえばMySQLならmysql_real_escape_string。SQLiteならsqlite_escape_string。
http://jp2.php.net/manual/ja/refs.database.php
とりあえずそれだと、'NULL OR TRUE'という入力には確実に無防備になる。
WHERE ID = $id
というプログラムに上記文字列がぶち込まれた時にどう動作するか考えてみるといい。
DROPやDELETE、UPDATEと組み合わせた文も上手くやれば発行可能かもしれん。
HTMLの実体参照はよりによってセミコロンを多用するしな。
ユーザー管理テーブルが書き換えられ、RDBMSのroot権限を奪取される事もじゅうぶんあり得る。
>>765
目的がSQLインジェクション対策でないからしなくていい
DBには生のデータを入れるのが基本
XSS等を意識するのは取り出す時
取り出す時に忘れるかもしれないから入れる時にエスケープする人もいるが
取り出す時にエスケープするのは当たり前なので
穴を防ぐ目的としてはいいかもしれないが根本的な解決にはなってない
目的がSQLインジェクション対策でないからしなくていい
DBには生のデータを入れるのが基本
XSS等を意識するのは取り出す時
取り出す時に忘れるかもしれないから入れる時にエスケープする人もいるが
取り出す時にエスケープするのは当たり前なので
穴を防ぐ目的としてはいいかもしれないが根本的な解決にはなってない
>>765
それはPHPが進化する過程の中での話し
それはPHPが進化する過程の中での話し
>>771
hiddenの値はHTMLのソース見れば
誰でも見れるよね。
つまり、スクリプト等でhiddenの値を
自動的に読み取るようにして、その値を
連続でぶちこまれたら、アカウント10万個とか
取られてしまうのではないかな?
hiddenの値はHTMLのソース見れば
誰でも見れるよね。
つまり、スクリプト等でhiddenの値を
自動的に読み取るようにして、その値を
連続でぶちこまれたら、アカウント10万個とか
取られてしまうのではないかな?
でもセッションの値ってたいてい
クッキーにも書き込んでるよね。
クッキーの値はクライアント側から読めるわけで、
もしアタッカーが、クッキーの値を読み取って、
自動的に連続入力するスクリプトをrubyで書いたら
やっぱりアカウント10万個とか取られてしまう。のでは?
クッキーにも書き込んでるよね。
クッキーの値はクライアント側から読めるわけで、
もしアタッカーが、クッキーの値を読み取って、
自動的に連続入力するスクリプトをrubyで書いたら
やっぱりアカウント10万個とか取られてしまう。のでは?
>>775
クッキーに記録しなければいいだけじゃん
クッキーに記録しなければいいだけじゃん
>>775
すまん、高度すぎて言ってる意味が分らん
クッキーに入ってるのはセッションIDだろ?
画像チャプタってたいがい都度生成だろうからその都度ID変わるし
都度セッションに値セットするなら仮に違うセッションID使われたとしても
セッションの参照先に値が無いからとおらないだろ
すまん、高度すぎて言ってる意味が分らん
クッキーに入ってるのはセッションIDだろ?
画像チャプタってたいがい都度生成だろうからその都度ID変わるし
都度セッションに値セットするなら仮に違うセッションID使われたとしても
セッションの参照先に値が無いからとおらないだろ
SIDやhiddenによるIDがそのまま認証鍵だと思い込んでいるのでしょうね
だから安全性に問題があるとは書いている
だから安全性に問題があるとは書いている
CAPTCHAで「12345」と出るとしよう。
hiddenに入れる値(以下、キー)に「12345」としたら何の意味もない。これは論外。
じゃあ、推測困難な計算方法で「12345」が導けるようなキーはどうだろう。
たとえば「23456」とか(これだと推測容易なんで、実際はもっと難しい計算を使うべき)。これは悪くない。
これを発展させて、crypt($salt . '12345')とかをキーにする。これも悪くない。まず破られないだろう。
ベストは、キーには「12345」とはまったく無関係の値を入れておき、キーと「12345」の関連付けはDBなどで行なう方法。
これだとDBのデータを知らないと絶対に両者を関連付けられない。
セッション・キーを発行しているなら、もうキーにできる値はあるので、新規に発行する意味もない。
キーとしてセッション・キーを使い、CAPTCHA生成時に「12345」をセッション変数としてサーバーに保存しておけばいいわけだ。
hiddenに入れる値(以下、キー)に「12345」としたら何の意味もない。これは論外。
じゃあ、推測困難な計算方法で「12345」が導けるようなキーはどうだろう。
たとえば「23456」とか(これだと推測容易なんで、実際はもっと難しい計算を使うべき)。これは悪くない。
これを発展させて、crypt($salt . '12345')とかをキーにする。これも悪くない。まず破られないだろう。
ベストは、キーには「12345」とはまったく無関係の値を入れておき、キーと「12345」の関連付けはDBなどで行なう方法。
これだとDBのデータを知らないと絶対に両者を関連付けられない。
セッション・キーを発行しているなら、もうキーにできる値はあるので、新規に発行する意味もない。
キーとしてセッション・キーを使い、CAPTCHA生成時に「12345」をセッション変数としてサーバーに保存しておけばいいわけだ。
ちょい説明が足りなかったかな。
> これを発展させて、crypt($salt . '12345')とかをキーにする
この場合、キーから'12345'は算出不能になる。
答え合わせは、ユーザーの入力した「12345」を同じ方法でcryptして、両者が一致するかで行なう。
> これを発展させて、crypt($salt . '12345')とかをキーにする
この場合、キーから'12345'は算出不能になる。
答え合わせは、ユーザーの入力した「12345」を同じ方法でcryptして、両者が一致するかで行なう。
>782
Shift_JISでプログラムを書くな。
Shift_JISでプログラムを書くな。
>>791
つど偉そうに聞いていいスレ
つど偉そうに聞いていいスレ
http://jp2.php.net/manual/ja/pdo.connections.php
データベースへの接続に成功すると、PDO クラスのインスタンスが スクリプトに返されます。
この PDO オブジェクトが存在する間、 接続がアクティブであり続けます。
パスワードわざと間違えたのを入れて、もいちど var_dump($dbh);
データベースへの接続に成功すると、PDO クラスのインスタンスが スクリプトに返されます。
この PDO オブジェクトが存在する間、 接続がアクティブであり続けます。
パスワードわざと間違えたのを入れて、もいちど var_dump($dbh);
>>795
先日PHPサイバーテロの技法という本を買って
今それを読みながらwebで一つ一つを調べています。
XSSにしてもXSRFにしても言葉と意味はなんとなく理解できたんですが
ただどんな状況下でそういった事が起こりえるのかが
理解できにくく苦労しています。
私自身以前はwebデザイン関係で働いてましたので
情報漏えいに対する危機感は理解しているつもりです。
それで今いい勉強の仕方を考えているんですがなかなか難しいですね。
私事ですいません。
先日PHPサイバーテロの技法という本を買って
今それを読みながらwebで一つ一つを調べています。
XSSにしてもXSRFにしても言葉と意味はなんとなく理解できたんですが
ただどんな状況下でそういった事が起こりえるのかが
理解できにくく苦労しています。
私自身以前はwebデザイン関係で働いてましたので
情報漏えいに対する危機感は理解しているつもりです。
それで今いい勉強の仕方を考えているんですがなかなか難しいですね。
私事ですいません。
http://raven-seo-tools.com/
ここのサイトなのですが壁紙は全て同じ色なのに
一部分だけ明るくなってます。
どうやってそれをやっているのでしょうか?
自分も真似をしたくて質問させてもらいました。
ここのサイトなのですが壁紙は全て同じ色なのに
一部分だけ明るくなってます。
どうやってそれをやっているのでしょうか?
自分も真似をしたくて質問させてもらいました。
>>797
seoのために2ちゃんで宣伝ごくろうさまです作者様
seoのために2ちゃんで宣伝ごくろうさまです作者様
前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで / php スレッド一覧へ
みんなの評価 : ○類似してるかもしれないスレッド
- 【PHP】下らねぇ質問はID出して書き込みやがれ 97 (1001) - [98%] - 2010/9/18 2:01
- 【PHP】下らねぇ質問はID出して書き込みやがれ 74 (1001) - [98%] - 2008/10/16 6:05
- 【PHP】下らねぇ質問はID出して書き込みやがれ 87 (1001) - [98%] - 2009/9/15 18:32
- 【PHP】下らねぇ質問はID出して書き込みやがれ 75 (1001) - [98%] - 2008/11/13 21:31 ○
- 【PHP】下らねぇ質問はID出して書き込みやがれ 76 (1001) - [98%] - 2008/12/6 22:36 ○
- 【PHP】下らねぇ質問はID出して書き込みやがれ 78 (1001) - [98%] - 2009/1/13 21:32 ○
- 【PHP】下らねぇ質問はID出して書き込みやがれ 79 (1001) - [98%] - 2009/2/1 0:33 ○
- 【PHP】下らねぇ質問はID出して書き込みやがれ 137 (995) - [96%] - 2023/1/30 18:45
- 【PHP】下らねぇ質問はID出して書き込みやがれ 117 (1001) - [96%] - 2012/4/23 19:01
- 【PHP】下らねぇ質問はID出して書き込みやがれ 107 (1001) - [96%] - 2011/7/2 2:15
- 【PHP】下らねぇ質問はID出して書き込みやがれ 127 (1001) - [96%] - 2013/5/26 14:01
- 【PHP】下らねぇ質問はID出して書き込みやがれ 93 (1001) - [96%] - 2010/3/16 4:25
- 【PHP】下らねぇ質問はID出して書き込みやがれ 82 (1001) - [96%] - 2009/4/6 19:33
- 【PHP】下らねぇ質問はID出して書き込みやがれ 83 (1001) - [96%] - 2009/4/27 3:17 ○
- 【PHP】下らねぇ質問はID出して書き込みやがれ 80 (1001) - [96%] - 2009/2/18 6:30 ○
- 【PHP】下らねぇ質問はID出して書き込みやがれ 94 (1001) - [96%] - 2010/4/20 19:31
- 【PHP】下らねぇ質問はID出して書き込みやがれ 84 (1001) - [96%] - 2009/6/15 21:04 ○
トップメニューへ / →のくす牧場書庫について