マッチするはずの正規表現がマッチしない現象 - T.Teradaの日記
今日は、PHPでよく使用される正規表現エンジンであるPCRE(Perl Compatible Regular Expression)の、余り知られていない(と思う)制約について書きます。 プログラム 題材は下のPHPプログラムです。 <?php header('Content-Type: text/html; charset=latin1'); $url = $_REQUEST['url']; if (preg_match('/^(.*?):/s', $url, $match)) { $scheme = $match[1]; if ($scheme !== 'http' && $scheme !== 'https') { exit; } } echo '<a href="'. htmlspecialchars($url). '">link</a>'; 外部から受け取った「url」パラメータ
[セキュリティ]画像へのPHPコマンド挿入 ― T.Teradaの日記
だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。 画像ファイルにPHPコードを埋め込む攻撃は既知の問題 – yohgaki's blog アップロード画像を利用した攻撃についてです。 攻撃の概要 画像ファイルにPHPコマンドを挿入する攻撃は、大きく2種類に分けることができます。 1つは、画像のアップロード機能を持つサイト自身を狙う攻撃です。PHPで開発されており、任意の拡張子のファイルのアップロードを許すサイトでは、拡張子がphpなどのファイルをアップロードされる恐れがあります。 拡張子がphpなどのファイルに仕込まれたPHPコマンドは、そのファイルにHTTP/HTTPSでアクセスされた際に実行されます。攻撃者は、アップロードファイルを通じて、画像が置かれるWebサーバ上で任意のコマンドを実行することできます。 この脆弱性は、アップロード可能なフ
「こんばんわ」と「こんにちわ」は同列に語れない - teracc’s blog
「こんにちは」は昔から「こんにちは」でしたが、「こんばんは」は昭和61年7月1日に「現代語仮名遣い」が内閣告示されてから定着したものであり、それ以前は「こんばん わ」にも市民権がありました。 80年代前半まで、挨拶言葉は「こんにち は」&「こんばん わ」が主流であり、全国区かわかりませんが、学校でもこの通りに教えていました。 (略) 「こんばん わ」が正しい、と思っている人が年配者になるほど多いのはこのためです。概ね変遷期に小中学生だった1970年代生まれくらいが境になっています。 「こんにちわ」撲滅委員会 会員様のご意見(会員番号0693番) だそうです。 「こんばんわ」と「こんにちわ」では、少々事情が違うようです。私は両方一緒くたに、若者を中心とした「誤用」だと思っていました。 昭和61年の内閣告示(現代仮名遣い)により、現代では「は」が標準と言えそうですが、「わ」も多用されています。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
