プライバシーポリシー

2021年12月20日月曜日

PHPにはエスケープ関数が何種類もあるけど、できればエスケープしない方法が良い理由

このエントリは、 PHP Advent Calendar 2021 の20日目のエントリです。19日目は @takoba さんによる  PHPプロジェクトのComposerパッケージをRenovateで定期アップデートする でした。 SQLインジェクションやクロスサイトスク...
2020年12月19日土曜日

PHPビルドの楽しみ、あるいはポケモンとしてのPHPについて

この記事は PHP Advent Calendar 2020 の19日目です。18日目は @You-saku さんの PHPでYoutubeのAPIを利用したい でした。 私は以前、PHPのすべてのバージョンを使う環境として、 phpall 、 phpcgiall 、 modph...
2020年11月14日土曜日

auじぶん銀行のフィッシングSMSが届いた

3日前に、auじぶん銀行の巧妙な不正出金についてYouTube動画を公開しました。みんな見てねー。 auじぶん銀行アプリに対する不正出金の驚くべき手口 そうしたところ、先程私のiPhoneに以下のようなSMSが届きました。 ふーん、au自分銀行のときは宅配事業者を装ったSMSとい...
2020年5月30日土曜日

PHPの脆弱性CVE-2018-17082はApacheの脆弱性CVE-2015-3183を修正したら発現するようになったというお話

最近自宅引きこもりで時間ができたので、YouTube動画を投稿するようになりました。みんな見てねー。 徳丸浩のウェブセキュリティ講座 そんなことで、次の動画は、お気に入りのPHPの脆弱性 CVE-2018-17082  を取り上げようと思ったんですよ。表向きXSSで出てい...
2020年3月27日金曜日

PHP 7.2以降におけるPDO::PARAM_INTの仕様変更

サマリ PHP 7.2以降、PDOの内部実装が変更された。動的プレースホルダ(エミュレーションOFF)にてバインド時にPDO::PARAM_INTを指定した場合、PHP 7.1までは文字列型としてバインドされていたが、PHP 7.2以降では整数型としてバインドされる。 この...
2019年12月9日月曜日

SSRF対策としてAmazonから発表されたIMDSv2の効果と限界

サマリ Capital OneからのSSRF攻撃による大規模な情報漏えい等をうけて、Amazonはインスタンスメタデータに対する保護策としてInstance Metadata Service (IMDSv2) を発表した。本稿では、IMDSv2が生まれた背景、使い方、効果、限...
2019年12月5日木曜日

シェルを経由しないOSコマンド呼び出しがPHP7.4で実装された

この記事は PHP Advent Calendar 2019 の5日目の記事です。 はじめに 私は6年前に、 PHP Advent Calendar 2013 として「 PHPだってシェル経由でないコマンド呼び出し機能が欲しい 」という記事を書きました。その中で、OSコマ...