reviewとphpに関するbitgleamsのブックマーク (3)
-
弊社本社の麻布十番移転に伴い、本社近くの麻布図書館を利用しています。麻布図書館は土地柄のイメージにあう瀟洒な建物で、蔵書がない場合は港区の他の図書館から取り寄せ︵無料です︶ができますので、よく利用しています。今回は、山田祥寛さんの﹁10日でおぼえるPHP入門教室 第4版 ﹂を借りて読んでみました。一読して、本書がセキュリティにもよく配慮されていることがわかりましたので、以下にご紹介したいと思います。 クロスサイトスクリプティング(XSS) 表示の際にHTMLエスケープするという原則を忠実に守っています。そのため、下記の e() という関数を定義して呼び出しています。 function e($str, $charset = 'UTF-8') { return htmlspecialchars($str, ENT_QUOTES, $charset); } その他にもXSS対策として重要な下記の
-
たにぐちまことさんの書かれた﹃よくわかるPHPの教科書︵以下、﹁よくわかる﹂︶﹄を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著﹁体系的に学ぶ 安全なWebアプリケーションの作り方︵以下、徳丸本︶﹂の章・節毎に照らし合わせて、﹁よくわかる﹂の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ ﹁よくわかる﹂のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件︵仕様︶に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 ﹁よくわかる﹂の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します︵﹁よくわ
-
たにぐちまことさんの よくわかるPHPの教科書がこのたび改版されて、よくわかるPHPの教科書 ︻PHP5.5対応版︼として出版されました。旧版はmysql関数を使ってSQL呼び出ししていましたが、mysql関数がPHP5.5にて非推奨となったための緊急対処的な内容となっているようです。つまり、従来mysql関数を呼び出していた箇所をmysqliの呼び出しに変更したというのが、主な変更点のようで、これ以外はあまり変更点は見あたりません。 既に、Amazonでは、熱烈な読者の方からの詳細のレビューが届いています。 神本御降臨! 言わずと知れたPHPプログラミング書籍のロングセラー。 2010年9月に発売された前作の改訂版。 PHPのバージョンも最新の5.5に対応、内容は前作と殆ど同じ。 少し前に前作を購入した方も本書を購入した方がいいでしょう。 ︻中略︼ それにしても、帯の﹁3万人に読まれた定
-
1