2005-01-01から1年間の記事一覧
Zend Optimizer は使ったことはないのですが、PHP 5.1 に対応したそうです。 http://www.zend.com/store/products/zend-optimizer.php
masugata さんのところで知ったのですが、mb_strcut() の第2引数(文字列の切り取り開始位置) に不正に大きな値を入力するとメモリ破壊が起きる可能性があるという問題が発見され、修正されたそうです。 http://d.hatena.ne.jp/masugata/20051216#p2 以下のよ…
register_globals についてある人からメールで質問(正確には質問ではないのですが)されたましたので、調べたり考えたりしたことをまとめてみます。何か間違いや勘違い等がありましたら指摘していただけますと幸いです。話題としては、以下のページにある、re…
Apache の問題だと思われますが、PHP で最も影響がありそうです。 Full-disclosure で以下のような投稿がありました。 [Full-disclosure] Bug with .php extension? 例えば、サーバ上に test.php.rar という PHP のコードが書かれたファイルが存在していて、…
Secunia や SecurityFocus でセキュリティホールとして認められたようです。 この件についての情報を 最近の mbstring 関係のバグのまとめ の最後に追加してみました。 PHP "mb_send_mail()" "To:" Header Injection Vulnerability (Secunia) PHP MB_Send_Ma…
PHP 5.1.1 が公開されました。 PHP 5.1.0 で Date クラスを定義したり PEAR::Date を読み込むとエラーが発生するバグが修正されています。 PHP 5.1.1. Release Announcement PHP 5.1.1 ChangeLog
PHP-based Applications が入っています。PHP 自体のセキュリティ問題もありますが、リモートファイルを読み込む脆弱性や SQL インジェクション、PHPBB と XML-RPC の関係でワームが発生したことが大きな原因のようです。 SANS Top 20 Vulnerabilities
PHP をサポートしているエディタについてまとめられています。 PHP Editor Review PHP Designer 2005 というエディタが非常に投票数とレートが高いです。
書き込み権限がないファイルを開こうとすると、sudo を使用して書き込みできるようにしてからファイルを開くシェルスクリプトが紹介されています。 似たような事は sudo.vim というプラグインでもできますが、シェルスクリプトの方が応用が効くので便利かも…
PHP 5.1.0 が公開されました。 変更点が多いので、特に PHP 4.x から移行する際は気を付けた方が良いと思います。 PHP 5.1.0. Release Announcement Proposed 5.1 Release Announcement UPGRADE NOTES - PHP 5.1 PHP 5.1.0 ChangeLog PHP 5.1.0 ChangeLog 和…
XML-RPC for PHP Vulnerability Attack (SANS - Internet Storm Center) http://isc.sans.org/diary.php?storyid=823 以前見つかった XML-RPC for PHP のセキュリティ問題を利用して広がるワームが確認されているようです。 PEAR の XML_RPC や XML-RPC for …
PHPUnit Pocket Guide (英語) http://www2.phpunit.de/pocket_guide/2.3/en/ PHPUnit についての解説です。 特にPHPUnit2 についての詳しくまとめられています。
最近の PHP(PHP 4.3.11 以降) の mbstring には多くのバグが報告、修正されていますが、そろそろ把握しきれなくなってきましたので、まとめてみました。何か間違い等ありましたら指摘していただけると幸いです。 これらのバグは CVS では既に修正されていま…
Advisory 18/2005: PHP Cross Site Scripting (XSS) Vulnerability in phpinfo() http://www.hardened-php.net/advisory_182005.77.htmlAdvisory 19/2005: PHP register_globals Activation Vulnerability in parse_str() http://www.hardened-php.net/advis…
PHP 4.4.1 が公開されました。セキュリティ問題の修正を含むバグ修正が行われています。 ChangeLog PHP 4.4.1 http://jp2.php.net/ChangeLog-4.php#4.4.1 PHP 4.4.1. Release Announcement http://jp2.php.net/release_4_4_1.php PHP 4.4.1 では、ctype_*() …
http://www.ilovejackdaniels.com/design/html-character-entities-cheat-sheet/
PECL の Windows 用バイナリが置いています。 http://pecl4win.php.net/
http://projects.netlab.jp/rast/
phpDocumentor 用のコメントを自動生成してくれる Vim プラグインです。 http://www.vim.org/scripts/script.php?script_id=1355&rating=life_changing
Flash + PHP という記事が追加されていました。 http://www.zend.co.jp/tech/index.php?cmd=read&page=Web%B5%BB%BD%D1%2FFlash%20%2B%20PHP
PHP で変数の扱いをまとめた非常に便利な表です。 PHP 4.2.2 以降のバージョン間でこの結果と違いがないかを確認してみましたが、特に問題ないようです。ただし、PHP 5.1RC1 では ctype_*() 関数での空文字列("")の扱いに変更があったようで、少しだけ違いが…
PHP には、php.ini の open_basedir を設定して PHP スクリプトを動作させるディレクトリを制限する機能がありますが、その制限を回避されてしまう場合があることが報告されています。Secunia の例では、/home/user1/ でのみ PHP を動作させるつもりで以下の…
http://www.jst.mfeed.ad.jp/others/04.html
http://www.petefreitag.com/cheatsheets/postgresql/
http://www.phpguru.org/article.php?ne_id=67
http://www.hardened-php.net/hardening-patch_v043_released.72.html
PHP Security by Example http://shiflett.org/archive/143Web Services in PHP http://ilia.ws/archives/74-PHPWorks-Webservices-Slides.html
メモしておきます。以下の通り、Internet Explorer では、 (垂直タブ)も気を付ける必要があるようです。 通常の記述方法では、javascript を タグ内に含める際などに、javascript: と記述しますが、 javas cript: と記述した場合にもスクリプトが実行されま…
PHP 4.3.11, PHP 4.4.0, PHP 5.0.5 に対応した Patch が公開されています。 sha1() や sha1_file() と同様に使用できる sha256() や sha256_file() という関数が追加されているそうです。Hardening-Patch v0.4.2 http://www.hardened-php.net/hardening-patc…
PHP Everywhere に Web Application Security Reviews という、投稿がありました。 非常に興味深かったので、訳してみました。金融機関で受けた Web アプリケーションのセキュリティチェック項目をまとめたものだそうですが、結構厳しいです。誤訳などがあり…