のくす牧場
コンテンツ
牧場内検索
カウンタ
総計:126,369,034人
昨日:no data人
今日:
最近の注目
人気の最安値情報

    元スレ【PHP】下らねぇ質問はID出して書き込みやがれ 87

    php覧 / PC版 /
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。
    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitter
    601 = :

    >>597
    $judge = @move_uploaded_file( $_FILES["file"]["tmp_name"], $updir . $file);



    if(move_uploaded_file( $_FILES["file"]["tmp_name"], $updir . $file)){
    $judge = move_uploaded_file( $_FILES["file"]["tmp_name"], $updir . $file);
    }else{
    $judge = NULL;
    }

    603 = :

    >>601
    if($judge = move_uploaded_file( $_FILES["file"]["tmp_name"], $updir . $file)){
    }else{
      $judge = NULL;
    }

    604 = :

    空のブロックの意味は?

    606 = :

    if(isset($_COOKIE["cookie_name"])){
        header('Status: 301 Moved Permanently');
        header('Location: filename');
        exit;
    }

    607 = :

    >>603
    >>601
    if($judge != move_uploaded_file( $_FILES["file"]["tmp_name"], $updir . $file)){
      $judge = NULL;
    }

    608 = :

    なんだそりゃw

    610 :

    >>597
    http://www.php-ref.com/web/03_move_uploaded_file.html
    もしかしてこの辺参考にしたか?
    @をつけたことないから@を付けたときの意味がわからん

    611 = :

    >>610
    @はエラーを吐かないようにする

    612 = 610 :

    なるほど
    それじゃあミスっても何も出てこない罠

    616 = :

    PHP+Apache+MYSQLシステムのセキュリティの話なんですが、
    ユーザ認証とSSLがしっかりしていれば、SQLインジェクションとかの
    セキュリティのリスクは低いとみてよろしいでしょうか?

    618 = :

    SSL越しに使うシステムで、ユーザ管理がしっかりできており、
    ユーザには悪意も過失もない、というのが前提です。

    619 = :

    >>61
    csrfで正規ログインユーザーにインジェクション用のurlをふませることもできるんじゃないかな。

    620 = :

    >>619
    >>618の間違い

    621 = :

    すいません、更新せずに書き込んでしまいました。

    あとは、PHPの問題というよりも、サーバOSやApacheのセキュリティホールを
    きちんと潰しているか?という話になりますかね・・・。

    622 = :

    悪意、過失の有無でリスクがどうこうなるもんじゃない。
    手作業でやるわきゃないんだから。最近じゃ、クロスサイト
    スクリプティングといって、ユーザーが認証住みのブラウザ
    の処理に割り込んで、さらに不正な要求をサーバーに投げ
    させるなんて攻撃もあるぞ。

    SQLインジェクションへの対処方法は、正しくユーザーから
    投げられたパラメータをエスケープすること。それに尽きる。
    エスケープさえしっかりすれば、それがプログラム内部で、
    別のスクリプト(この場合はSQL)になったときにその処理が
    乗っ取られるなんてことはない。

    623 = :

    セキュリティホールをいくら潰しても、なんちゃらインジェクション系の
    対策はひたすら地道にやっていかないと駄目だってば。

    624 = :

    >>619
    これってブラウザのセキュリティパッチをこまめに適用したり、
    セキュリティソフトの導入を検討するしかないのかな。
    そもそも怪しいサイト見るなってのもあるけど。

    625 = :

    結局、セッション乗っ取れる仕様が駄目ってことかな

    626 = :

    >>624
    根本的には、サイト側のつくりの問題じゃないかな。
    削除や書き込み用のアドレスを直で呼び出すとエラーになるような仕掛けで回避。

    627 = :

    >>625
    csrfにはセッションのっとりは必要ないぞ。
    正規ユーザー自身が攻撃を行わされるわけだから。

    628 = :

    きちんとメンテされてるフレームワーク使えってことかー!

    629 = :

    それをセッションの乗っ取りと表現しているのでは

    630 = :

    >>624
    今年多くの被害を出したgumblar.cnとかだと、
    事前にFTPログイン情報をスパイウェアとかで抜き出しておいて、
    それで一般のWEBサイトのhtml等のファイルを全書き換えして
    攻撃用のjavascriptを仕込んでいた。

    WEB上に被害報告が結構上がっていたけど、
    その段階でもセキュリティソフトやブラウザの検知機能はほとんど未対応だった。

    いつも自分がみていたサイトや有名なサイトなどが危険な状態になっているわけだから、
    javascriptを切っておくか、他のサイトへの転送をはじくようにしておかないと回避は難しいかもね。

    631 = :

    >>629
    感覚的には判るんだけど、セッション乗っ取り対策がイコールCSRF対策にもなると考えてしまうとまずいだろ
    対策の仕方によってはCSRFを防げないだろうし

    633 = :

    SAASに頼るのはリスクだよ、ってことか。
    必ずクローズドなLANからVPN張れるやつにしろと。

    634 = :

    >>632
    ディスクの容量がいっぱい

    636 = :

    >>632
    WEBサーバーのエラーログには何も出ていない?

    638 = :

    小数点以下2桁表示

    641 = :

    マニュアルを見ると、「型指定子」および「精度指定子」とあるね。

    644 = :

    ID出そうぜ。

    646 = :

    ファイルサーバのファイルを定期的に拾っていくようなcronのサンプルないですか?
    いや、便乗で申し訳ないのですが。

    647 = :

    すれ違い

    648 = :

    便乗がID出さない理由にはならないぜ
    ていうかシェルスクリプトでやったほうが

    649 = :

    cron で php を動かしてってなら出来るんじゃない?
    php でFTP接続→全部拾ってFTP内は削除ってプログラムなら作ったことはある

    650 = :

    >>649
    まじっすか!ビンゴです。
    サンプルあげてもらえると嬉しいです。
    一応PHPだし。


    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで / php一覧へ
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。

    類似してるかもしれないスレッド

    トップメニューへ / →のくす牧場書庫について