のくす牧場
コンテンツ
牧場内検索
カウンタ
総計:127,689,667人
昨日:no data人
今日:
最近の注目
人気の最安値情報

元スレ【PHP】下らねぇ質問はID出して書き込みやがれ 99

php覧 / PC版 /
スレッド評価: スレッド評価について
みんなの評価 :
タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。
←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitter

255 = :

>>250
XSS理解してんの?

258 = :

そういう場合もあるだろうさ
そのときにどうセキュリティ対策するかという話

259 = :

であればセキュリティ対策のしようがない。
htmlspecialchars掛けたって偽装URLは排除しようがない。

>>234のようにあらかじめURLの選択肢が決まっているのであれば
そのURLを直接送信せずに選択肢番号のみを送信し、受け取った 2.php 内で
その番号に応じたURLを埋め込むような仕様にすべき。

260 = :

POSTなら問題にはならない
他人にはURLとして誘導できないからな

261 = :

ならhtmlspecialcharsだって意味が無い。
クリックした本人にしか影響がないわけだからな。
XSSを考慮するなら、偽のindex.phpを用意して本物の 2.php にPOSTするような
攻撃方法も考慮すべき。

262 = :

間違えた。
前半2行は無視してくれ。

263 = :

>>260
POSTもGETも関係ない、htmlが置けるスペースがあればPOSTで任意のデータを他人に送らせれる

264 = :

「ら」抜き言葉は止めろ

265 = 239 :

度々すみません。

攻撃されるって誰からですか?

266 = :

>>265
いたずらっ子。

267 = :

え?影響あるのは自分だけでは?他人に送らせるってどういうこと?

268 :

POSTは外部から送ることもできるだろ

269 = :

送って、それはどこに表示されるの?

270 = :

え?

271 = :

259 nobodyさん sage 2010/10/16(土) 03:21:54 ID:???

>>234のようにあらかじめURLの選択肢が決まっているのであれば
そのURLを直接送信せずに選択肢番号のみを送信し、受け取った 2.php 内で
その番号に応じたURLを埋め込むような仕様にすべき。

これに興味あり。なんで?

272 = :

>>271
HTMLなんか書き換えられるんだから、変なURL突っ込むことも可能だろ
あらかじめ数字か何かで決めておけば、変なのが来ても弾ける

273 = :

>>267

<script>
window.onload = function(){
  document.frm.submit();
}
</script>
<form action="http://example.com/" name="frm">
<input type="hidden" name="abcde" value="http://example.org/" />
</form>

275 = :

2.php の目的によってはURLをそのままPOSTしても問題はあまりないかも
でも一般的なプログラミングとしては>>259のようにしたほうがいい
もちろん 2.php 内でPOSTされた数値の正当性もチェックする

277 = :

コードにおかしいところはないと思う。
どんなエラーメッセージが表示される?

281 = :

echo mb_detect_encoding($text);
の結果がFALSEだとしたら検出に失敗している
ちなみにmb_detect_encodingは必ずしも検出できるとは限らない(対象文字列による)し、
文字列によっては誤検出する場合もある。

283 = :

日本語の文字コード認識を完全に自動で行うのは困難。
mb_convert_encodingの第3引数を"auto"にして自動変換する場合も同様。
"mb_convert_encoding UTF-8" あたりでググるとよい

284 = :

>>255
受け取ったURIを使うような方法はもちろん自分ではやらないよ。
>>255の質問の意図は何?

285 = :

>>284
>>250で「下の用にしましょう」として「受け取ったURIを使うような方法」を示してんじゃん。

287 :

皆さんはphp.iniで
error_reporting = E_ALL & ~E_NOTICE
の設定にして、全てのエラーや警告が出ないように作ってますか?
そこまでする必要はあるのでしょうか?
お仕事でPHPを使っている人は、やっぱりそのへん厳密にやってるんでしょうか…。

288 = :

>>287
http://www.php.net/manual/ja/security.errors.php
想定外のアクセスやアタックがあった際にエラーの内容からプログラムの構造を推察されないように
したいのならエラーを抑制すればいい。
独自のエラーハンドラ関数を作成してエラーを表示しない代わりにログに記録することもある。

289 = :

>>287
開発用とリリース用で違う

290 = :

厳密っていうかでないのが当たり前っていう思考だからなんとも
正しい書き方を身につければそんなこと考えもしないよ

292 = :

>>291
それPHPの質問じゃないけどちゃんとageてるので答えると
テーブルごとにやるしかないよ

293 = :

>>287
それだとNOTICEでないよね?
うちはNOTICEは全てでないようにしないと品質保証部のの許可が下りない

294 = :

品質保証部って運用テストのバイトの人?

295 = :

>>292
回答ありがとうございます
テーブルごとにやるとしても、カラムもカラムごとでしょうか?

296 = :

WebでもQAエンジニア雇うところはあるよ

297 = :

>>295
ごめんテーブルじゃなくてカラムだった

298 = :

全部連結して、比較は1つ、でもいいけどね。
まあ連結するとき間にセパレーター置かないと誤判定するか

299 = :

>>297-298
ありがとうございます
無理なんですね
いろいろ代案考えます

300 = :

どこから考えるのかわからんけど、そもそも複数カラムに対して同じものを比較する時点で
設計に問題があるかも


←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで / php一覧へ
スレッド評価: スレッド評価について
みんなの評価 :
タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。

類似してるかもしれないスレッド


トップメニューへ / →のくす牧場書庫について