のくす牧場
コンテンツ
牧場内検索
カウンタ
総計:126,369,003人
昨日:no data人
今日:
最近の注目
人気の最安値情報

    元スレ【PHP】下らねぇ質問はID出して書き込みやがれ 99

    php覧 / PC版 /
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。
    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitter

    255 = :

    >>250
    XSS理解してんの?

    258 = :

    そういう場合もあるだろうさ
    そのときにどうセキュリティ対策するかという話

    259 = :

    であればセキュリティ対策のしようがない。
    htmlspecialchars掛けたって偽装URLは排除しようがない。

    >>234のようにあらかじめURLの選択肢が決まっているのであれば
    そのURLを直接送信せずに選択肢番号のみを送信し、受け取った 2.php 内で
    その番号に応じたURLを埋め込むような仕様にすべき。

    260 = :

    POSTなら問題にはならない
    他人にはURLとして誘導できないからな

    261 = :

    ならhtmlspecialcharsだって意味が無い。
    クリックした本人にしか影響がないわけだからな。
    XSSを考慮するなら、偽のindex.phpを用意して本物の 2.php にPOSTするような
    攻撃方法も考慮すべき。

    262 = :

    間違えた。
    前半2行は無視してくれ。

    263 = :

    >>260
    POSTもGETも関係ない、htmlが置けるスペースがあればPOSTで任意のデータを他人に送らせれる

    264 = :

    「ら」抜き言葉は止めろ

    265 = 239 :

    度々すみません。

    攻撃されるって誰からですか?

    266 = :

    >>265
    いたずらっ子。

    267 = :

    え?影響あるのは自分だけでは?他人に送らせるってどういうこと?

    268 :

    POSTは外部から送ることもできるだろ

    269 = :

    送って、それはどこに表示されるの?

    270 = :

    え?

    271 = :

    259 nobodyさん sage 2010/10/16(土) 03:21:54 ID:???

    >>234のようにあらかじめURLの選択肢が決まっているのであれば
    そのURLを直接送信せずに選択肢番号のみを送信し、受け取った 2.php 内で
    その番号に応じたURLを埋め込むような仕様にすべき。

    これに興味あり。なんで?

    272 = :

    >>271
    HTMLなんか書き換えられるんだから、変なURL突っ込むことも可能だろ
    あらかじめ数字か何かで決めておけば、変なのが来ても弾ける

    273 = :

    >>267

    <script>
    window.onload = function(){
      document.frm.submit();
    }
    </script>
    <form action="http://example.com/" name="frm">
    <input type="hidden" name="abcde" value="http://example.org/" />
    </form>

    275 = :

    2.php の目的によってはURLをそのままPOSTしても問題はあまりないかも
    でも一般的なプログラミングとしては>>259のようにしたほうがいい
    もちろん 2.php 内でPOSTされた数値の正当性もチェックする

    277 = :

    コードにおかしいところはないと思う。
    どんなエラーメッセージが表示される?

    281 = :

    echo mb_detect_encoding($text);
    の結果がFALSEだとしたら検出に失敗している
    ちなみにmb_detect_encodingは必ずしも検出できるとは限らない(対象文字列による)し、
    文字列によっては誤検出する場合もある。

    283 = :

    日本語の文字コード認識を完全に自動で行うのは困難。
    mb_convert_encodingの第3引数を"auto"にして自動変換する場合も同様。
    "mb_convert_encoding UTF-8" あたりでググるとよい

    284 = :

    >>255
    受け取ったURIを使うような方法はもちろん自分ではやらないよ。
    >>255の質問の意図は何?

    285 = :

    >>284
    >>250で「下の用にしましょう」として「受け取ったURIを使うような方法」を示してんじゃん。

    287 :

    皆さんはphp.iniで
    error_reporting = E_ALL & ~E_NOTICE
    の設定にして、全てのエラーや警告が出ないように作ってますか?
    そこまでする必要はあるのでしょうか?
    お仕事でPHPを使っている人は、やっぱりそのへん厳密にやってるんでしょうか…。

    288 = :

    >>287
    http://www.php.net/manual/ja/security.errors.php
    想定外のアクセスやアタックがあった際にエラーの内容からプログラムの構造を推察されないように
    したいのならエラーを抑制すればいい。
    独自のエラーハンドラ関数を作成してエラーを表示しない代わりにログに記録することもある。

    289 = :

    >>287
    開発用とリリース用で違う

    290 = :

    厳密っていうかでないのが当たり前っていう思考だからなんとも
    正しい書き方を身につければそんなこと考えもしないよ

    292 = :

    >>291
    それPHPの質問じゃないけどちゃんとageてるので答えると
    テーブルごとにやるしかないよ

    293 = :

    >>287
    それだとNOTICEでないよね?
    うちはNOTICEは全てでないようにしないと品質保証部のの許可が下りない

    294 = :

    品質保証部って運用テストのバイトの人?

    295 = :

    >>292
    回答ありがとうございます
    テーブルごとにやるとしても、カラムもカラムごとでしょうか?

    296 = :

    WebでもQAエンジニア雇うところはあるよ

    297 = :

    >>295
    ごめんテーブルじゃなくてカラムだった

    298 = :

    全部連結して、比較は1つ、でもいいけどね。
    まあ連結するとき間にセパレーター置かないと誤判定するか

    299 = :

    >>297-298
    ありがとうございます
    無理なんですね
    いろいろ代案考えます

    300 = :

    どこから考えるのかわからんけど、そもそも複数カラムに対して同じものを比較する時点で
    設計に問題があるかも


    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで / php一覧へ
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。

    類似してるかもしれないスレッド

    トップメニューへ / →のくす牧場書庫について