Entries from 2008-11-01 to 1 month

神戸デジタル・ラボの「セルフチェックかんたん5」は試すな危険

株式会社神戸デジタル・ラボが公表している「セルフチェックかんたん5」がWebアプリケーションセキュリティの一部専門家の間で話題になっている。 mi1kmanさん経由。 神戸デジタル・ラボさんの Webセキュリティ診断の販促ページ。 色々と言いたいことはあり…

郵便番号は整数型か

前回に引き続き、はじめてのPHPプログラミング 基本編5.3対応のゆるいところの最終回はセキュリティの話題ではなく、データベースの列の型についてだ。 本書のP215には、SQLiteを使って住所録のテーブルを作ろうとあるのだが、テーブルの形式は以下のように…

SQLインジェクションのサンプルが動かない

前回に引き続き、はじめてのPHPプログラミング 基本編5.3対応のゆるいところ第四段は、SQLインジェクションのサンプルについてだ。 本書にはプログラミングの入門書としては珍しくSQLインジェクションの説明がある。それはよいことなのだが、P242の以下の記…

ミニミニブログにCSRF脆弱性

前回に引き続き、はじめてのPHPプログラミング 基本編5.3対応のゆるいところ第三段は、本書に紹介されているミニミニブログにクロスサイト・リクエストフォージェリ(CSRF)脆弱性があるというものだ。 このミニミニブログは、BASIC認証を利用していて、twitte…

Shift_JISを利用することの是非

前回に引き続き、はじめてのPHPプログラミング 基本編5.3対応のゆるいところ第二段は、文字エンコーディングについてだ。 本書は、文字エンコーディングとしてShift_JISを採用している。しかし、本家から配布されているWindows用バイナリのPHP処理系は、「--…

データベースファイルは公開ディレクトリに格納すべきではない

先日の日記書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性 - 徳丸浩の日記(2008-10-29)にて、はじめてのPHPプログラミング 基本編―5.3対応を取り上げた際に、『その「ゆるさ」のゆえんはおいおい報告する』と予告していた。…

この時期になると哲学者が急増

Google Analyticsより引用参照:食事する哲学者秋ゆえに思索にふけろう、まずは食事する哲学者だ、というわけではなくて、情報系の学部でこの時期に食事する哲学者を講義する、あるいはレポートの提出を求める、あたりですかね。

「セキュアなPHPアプリケーションを作成するための7つの習慣」のサンプルがとんでもなく酷い

はてブで250以上のブックマークを得ている以下のエントリ。 PHP アプリケーションを作成する際には、可能な限りセキュアなアプリケーションにするために、次の 7 つの習慣を守る必要があります。 入力を検証する ファイルシステムを保護する データベースを…