のくす牧場
コンテンツ
牧場内検索
カウンタ
総計:127,062,855人
昨日:no data人
今日:
最近の注目
人気の最安値情報

    私的良スレ書庫

    不明な単語は2ch用語を / 要望・削除依頼は掲示板へ。不適切な画像報告もこちらへどうぞ。 / 管理情報はtwitter
    ログインするとレス評価できます。 登録ユーザには一部の画像が表示されますので、問題のある画像や記述を含むレスに「禁」ボタンを押してください。

    元スレ【PHP】下らねぇ質問はID出して書き込みやがれ 99

    php スレッド一覧へ / php とは? / 携帯版 / dat(gz)で取得 / トップメニュー
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。
    レスフィルター : (試験中)
    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitter
    251 : nobodyさん - 2010/10/16(土) 02:07:57 ID:??? (-11,-29,-2)
    <php?
    252 : nobodyさん - 2010/10/16(土) 02:10:02 ID:??? (-1,-29,-2)
    >>249
    それだと{1,10}が意味をなさねぇだろ
    253 : nobodyさん - 2010/10/16(土) 02:10:43 ID:??? (-4,-28,+1)
    >>241=251
    254 : nobodyさん - 2010/10/16(土) 02:14:10 ID:??? (-9,-27,+0)
    ?>
    255 : nobodyさん - 2010/10/16(土) 02:19:25 ID:??? (+66,-19,+0)
    >>250
    XSS理解してんの?
    256 : nobodyさん - 2010/10/16(土) 02:50:29 ID:??? (+0,-30,-131)
    >>250
    htmlspecialchars使えば万事OKではない
    htmlspecialcharsのデフォルトの文字コードはISO-8859-1、php.iniの文字コードとスクリプトの文字コードが食い違うとXSS可能
    なのでちゃんと第三引数まで指定すること

    あと、>>234の場合だと2バイト文字を含まないのでctype_printで先にチェックしておく
    2バイト文字を含むならmb_check_encodingでチェック、これもちゃんと第二引数まで指定する
    257 : nobodyさん - 2010/10/16(土) 03:10:26 ID:??? (-2,-30,-44)
    つーか、それ以前に$_POST['abcde']で得たURLを
    直接<from action="~">に再投入することが問題。
    258 : nobodyさん - 2010/10/16(土) 03:15:03 ID:??? (+57,+29,-30)
    そういう場合もあるだろうさ
    そのときにどうセキュリティ対策するかという話
    259 : nobodyさん - 2010/10/16(土) 03:21:54 ID:??? (+65,+29,-89)
    であればセキュリティ対策のしようがない。
    htmlspecialchars掛けたって偽装URLは排除しようがない。

    >>234のようにあらかじめURLの選択肢が決まっているのであれば
    そのURLを直接送信せずに選択肢番号のみを送信し、受け取った 2.php 内で
    その番号に応じたURLを埋め込むような仕様にすべき。
    260 : nobodyさん - 2010/10/16(土) 03:45:00 ID:??? (+55,+22,-6)
    POSTなら問題にはならない
    他人にはURLとして誘導できないからな
    261 : nobodyさん - 2010/10/16(土) 04:16:38 ID:??? (+3,-29,-37)
    ならhtmlspecialcharsだって意味が無い。
    クリックした本人にしか影響がないわけだからな。
    XSSを考慮するなら、偽のindex.phpを用意して本物の 2.php にPOSTするような
    攻撃方法も考慮すべき。
    262 : nobodyさん - 2010/10/16(土) 04:18:40 ID:??? (+42,+14,+0)
    間違えた。
    前半2行は無視してくれ。
    263 : nobodyさん - 2010/10/16(土) 04:31:25 ID:??? (+5,-29,-12)
    >>260
    POSTもGETも関係ない、htmlが置けるスペースがあればPOSTで任意のデータを他人に送らせれる
    264 : nobodyさん - 2010/10/16(土) 04:37:03 ID:??? (+52,+29,-4)
    「ら」抜き言葉は止めろ
    265 : nobodyさん - 2010/10/16(土) 07:22:06 ID:YK7HI7ry (+59,+29,-4)
    度々すみません。

    攻撃されるって誰からですか?
    266 : nobodyさん - 2010/10/16(土) 10:41:23 ID:??? (+60,+29,+1)
    >>265
    いたずらっ子。
    267 : nobodyさん - 2010/10/16(土) 13:34:00 ID:??? (+61,+29,-12)
    え?影響あるのは自分だけでは?他人に送らせるってどういうこと?
    268 : nobodyさん - 2010/10/16(土) 13:41:34 ID:I74M7hiK (+21,+26,-7)
    POSTは外部から送ることもできるだろ
    269 : nobodyさん - 2010/10/16(土) 13:42:42 ID:??? (+52,+29,-3)
    送って、それはどこに表示されるの?
    270 : nobodyさん - 2010/10/16(土) 13:47:14 ID:??? (+30,+12,-2)
    え?
    271 : nobodyさん - 2010/10/16(土) 14:12:49 ID:??? (+34,-30,-88)
    259 nobodyさん sage 2010/10/16(土) 03:21:54 ID:???

    >>234のようにあらかじめURLの選択肢が決まっているのであれば
    そのURLを直接送信せずに選択肢番号のみを送信し、受け取った 2.php 内で
    その番号に応じたURLを埋め込むような仕様にすべき。

    これに興味あり。なんで?
    272 : nobodyさん - 2010/10/16(土) 14:36:37 ID:??? (+62,+29,-27)
    >>271
    HTMLなんか書き換えられるんだから、変なURL突っ込むことも可能だろ
    あらかじめ数字か何かで決めておけば、変なのが来ても弾ける
    273 : nobodyさん - 2010/10/16(土) 15:08:04 ID:??? (+6,-30,-64)
    >>267

    <script>
    window.onload = function(){
      document.frm.submit();
    }
    </script>
    <form action="http://example.com/" name="frm">
    <input type="hidden" name="abcde" value="http://example.org/" />
    </form>
    274 : nobodyさん - 2010/10/16(土) 15:11:31 ID:??? (-1,-29,-23)
    2.phpで個人情報等を入力させるっていう前提?
    275 : nobodyさん - 2010/10/16(土) 15:49:36 ID:??? (+12,-29,-40)
    2.php の目的によってはURLをそのままPOSTしても問題はあまりないかも
    でも一般的なプログラミングとしては>>259のようにしたほうがいい
    もちろん 2.php 内でPOSTされた数値の正当性もチェックする
    277 : nobodyさん - 2010/10/16(土) 20:17:42 ID:??? (+20,+26,-9)
    コードにおかしいところはないと思う。
    どんなエラーメッセージが表示される?
    278 : nobodyさん - 2010/10/16(土) 20:34:01 ID:??? (-11,-29,-14)
    >>276
    $textの内容をechoして確認せよ
    281 : nobodyさん - 2010/10/16(土) 20:49:25 ID:??? (+3,-30,-90)
    echo mb_detect_encoding($text);
    の結果がFALSEだとしたら検出に失敗している
    ちなみにmb_detect_encodingは必ずしも検出できるとは限らない(対象文字列による)し、
    文字列によっては誤検出する場合もある。
    283 : nobodyさん - 2010/10/16(土) 21:25:46 ID:??? (+3,-30,-91)
    日本語の文字コード認識を完全に自動で行うのは困難。
    mb_convert_encodingの第3引数を"auto"にして自動変換する場合も同様。
    "mb_convert_encoding UTF-8" あたりでググるとよい
    284 : nobodyさん - 2010/10/17(日) 00:28:12 ID:??? (+91,+21,-20)
    >>255
    受け取ったURIを使うような方法はもちろん自分ではやらないよ。
    >>255の質問の意図は何?
    285 : nobodyさん - 2010/10/17(日) 01:29:32 ID:??? (+70,+29,-25)
    >>284
    >>250で「下の用にしましょう」として「受け取ったURIを使うような方法」を示してんじゃん。
    286 : nobodyさん - 2010/10/17(日) 02:04:43 ID:??? (-1,-29,-31)
    > ○○○の部分ににindex.phpの三択で指定したURLを自動的に取得できるようにしたいのですが

    これに対する回答だからじゃないの?
    287 : nobodyさん - 2010/10/17(日) 02:40:23 ID:N98scqjc (+13,-30,-43)
    皆さんはphp.iniで
    error_reporting = E_ALL & ~E_NOTICE
    の設定にして、全てのエラーや警告が出ないように作ってますか?
    そこまでする必要はあるのでしょうか?
    お仕事でPHPを使っている人は、やっぱりそのへん厳密にやってるんでしょうか…。
    288 : nobodyさん - 2010/10/17(日) 03:52:16 ID:??? (+57,+29,-57)
    >>287
    http://www.php.net/manual/ja/security.errors.php
    想定外のアクセスやアタックがあった際にエラーの内容からプログラムの構造を推察されないように
    したいのならエラーを抑制すればいい。
    独自のエラーハンドラ関数を作成してエラーを表示しない代わりにログに記録することもある。
    289 : nobodyさん - 2010/10/17(日) 04:38:13 ID:??? (+50,+23,-2)
    >>287
    開発用とリリース用で違う
    290 : nobodyさん - 2010/10/17(日) 10:47:44 ID:??? (+15,+29,-29)
    厳密っていうかでないのが当たり前っていう思考だからなんとも
    正しい書き方を身につければそんなこと考えもしないよ
    292 : nobodyさん - 2010/10/17(日) 11:31:46 ID:??? (+78,+26,-4)
    >>291
    それPHPの質問じゃないけどちゃんとageてるので答えると
    テーブルごとにやるしかないよ
    293 : nobodyさん - 2010/10/17(日) 12:05:33 ID:??? (+48,-16,-11)
    >>287
    それだとNOTICEでないよね?
    うちはNOTICEは全てでないようにしないと品質保証部のの許可が下りない
    294 : nobodyさん - 2010/10/17(日) 14:12:52 ID:??? (+2,-25,-8)
    品質保証部って運用テストのバイトの人?
    295 : nobodyさん - 2010/10/17(日) 14:24:49 ID:??? (+87,+19,-4)
    >>292
    回答ありがとうございます
    テーブルごとにやるとしても、カラムもカラムごとでしょうか?
    296 : nobodyさん - 2010/10/17(日) 15:13:27 ID:??? (+9,-18,-25)
    WebでもQAエンジニア雇うところはあるよ
    297 : nobodyさん - 2010/10/17(日) 15:25:41 ID:??? (+94,+20,+1)
    >>295
    ごめんテーブルじゃなくてカラムだった
    298 : nobodyさん - 2010/10/17(日) 16:06:41 ID:??? (+57,+29,-22)
    全部連結して、比較は1つ、でもいいけどね。
    まあ連結するとき間にセパレーター置かないと誤判定するか
    299 : nobodyさん - 2010/10/17(日) 17:10:20 ID:??? (+70,+29,-1)
    >>297-298
    ありがとうございます
    無理なんですね
    いろいろ代案考えます
    300 : nobodyさん - 2010/10/17(日) 17:22:16 ID:??? (+94,+29,-10)
    どこから考えるのかわからんけど、そもそも複数カラムに対して同じものを比較する時点で
    設計に問題があるかも
    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで / php スレッド一覧へ
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。

    類似してるかもしれないスレッド

    トップメニューへ / →のくす牧場書庫について