ユーザエージェントなどを表示することは比較的よくあると思いますが、$_SERVER,$_ENV,$_FILESは一切エンコーディング変換されません。注意してください。
他にも考えなければならないケースがいろいろあります。exifなどにも不正な文字エンコーディングが含まれていて攻撃される可能性があります。
via blog.ohgaki.net
ユーザーエージェントに日本語入れてる人いるよね。
exifは盲点だった。
via ぽすたうるす
2009年9月16日水曜日
PHPの文字コードのセキュリティでわすれがちなこと
登録:
コメントの投稿 (Atom)
ブログ アーカイブ
-
▼
2009
(379)
-
▼
9月
(61)
- GIGAZINEの MS Security Essentials試用レポート
- YUI 2.8.0が (R4だけど)リリースされてた
- Safari, Chrome, Firefoxに続き、 Operaでも角丸?
- シニカルなビルゲイツと、宗教的なスティーブジョブス
- Twitterの急成長で恩恵を受けるのは
- 日本で一番長い回文?
- RE: SEOマニアを判別するたった1つのクールな方法 - ワーディングラボ | 検索エンジンとSE...
- 神谷明のコナンの声優降板について
- Twitterの POSTに使ったツールへのリンクが rel="nofollow"になたらしい
- Railsの Viewで Controller名と Action名を参照する方法
- Railsで本当に数値を 3桁ごとにカンマ区切りにするのはこっちの Helperだった
- Railsで数値を 3桁ずつカンマで区切る方法
- Highslide JSは 「hs.showCredits = false」としてもライセンス的に問...
- Microsoft Security Essentials (MSE)ってどうなんだろう
- 「共感呪術的ファイル共有デバイス iTwin」だそうで
- 民主党で大臣になった前原さんとか原口さんって
- Rubyでclass名を取得する
- Railsでラジオボタンやチェックボックスに labelを付ける
- Rubyで 「class << self」ってのは
- PHPの文字コードのセキュリティでわすれがちなこと
- PHP.iniにおける セキュアなmbstringの設定
- PHPの mbstring.http_outputとは
- Rubyで trim()
- Railsの initializersディレクトリとは?
- それでもなお、○○をしなさい。
- Railsの SESSIONの安全性 (Cookieに保存する場合)
- ウェデクングケーキ?
- エラーメッセージの国際化(1) - 『基礎 Ruby on Rails』の asagao を Rai...
- Railsの blank?
- もっと効率的な賃貸物件の探し方
- Railsの options_for_select()の使い方
- パワフルプロ野球TOUCHの欠点
- iPodでパワプロが楽しめる時代になっていた
- Slim3、 GWT、 そしてGoogle App Engine
- 外部CSSなどのlink要素に title属性をつけると読み込まれないことがあるらしい
- CSSで table要素のcellspacing="0"とcellpadding="0"を実現する方法
- GPLの影響力 その2
- GPLの影響力 その1
- impromptuとは
- Google Calendarでプロ野球の日程や試合結果を見られるらしい
- Bloggerの Navbarに「共有」ボタンが追加された
- Web上で Visioのような図がかける無料ツール
- JavaScriptは windowオブジェクトを省略すると速くなる
- Hadoopから SQLでデータを取得できる Hive
- script.aculo.usの Effect時に IE6で文字が滲むのを回避する方法
- GWT (Google Web Toolkit)でWebページを作るとbody要素の中に1行しかない?
- RE: 今日の大嘘 - by edvakf in hatena
- Windows7のエディション互換性
- PHP5.2系と5.3系
- 最も古典的で安全な治療法
- GoogleによるGoogleブランドのオンラインショップ
- FW: リモートデスクトップの暗号強度とデフォルトの暗号設定 | New MAIDSAN Serve...
- Google検索結果の精度向上
- FW: aタグで恋人等の人間関係を表現する。 - 鶴羽佳秀 - Tokyo Photo Life
- FW: 【楽天アフィリエイト】成果報酬支払い方法変更のお知らせ
- FW: element.addEventListener - MDC
- FW: JavaScript addEventListener() - とみぞーノート
- FW: /var/log/maeda.log: Rubyのシングルクォートとダブルクォートは、実行速...
- FW: WordPress を Twitter のようにするテーマ「P2」 | Powershift
- FW: FirefoxアドオンのShareaholicとPosterousの相性が良過ぎる - ぽす...
- FW: SQL脳からBigtable脳へ - ひがやすを blog
-
▼
9月
(61)
カテゴリー
- Ruby on Rails (70)
- PHP (65)
- JavaScript (50)
- CSS (35)
- jQuery (28)
- Google Maps (26)
- Windows (23)
- Firefox (21)
- Linux (21)
- Twitter (20)
- IE (19)
- Apache (18)
- MySQL (18)
- Amazon EC2 (17)
- PostgreSQL (17)
- Titanium (17)
- Ruby (16)
- test (16)
- Android (14)
- Google (12)
- Excel (11)
- YUI (11)
- AWS (10)
- HTML5 (10)
- HTML (9)
- Facebook (8)
- Mail (8)
- Mobile (8)
- VMware (7)
- Monit (6)
- WordPress (6)
- iPhone (6)
- jQuery UI (6)
- C++ (5)
- Java (5)
- Security (5)
- iPad (5)
- Google Chart API (4)
- CakePHP (3)
- Chrome (3)
- Google Analytics (3)
- Google App Engine (3)
- Python (3)
- jQuery Mobile (3)
- AdSense (2)
- Amazon (2)
- Domain (2)
- GMail (2)
- Google Docs (2)
- IE9 (2)
- Rails (2)
- SQL (2)
- Web (2)
- postgres (2)
- 携帯 (2)
- 英語 (2)
- ?? (1)
- Blogger (1)
- Bootstrap (1)
- Chorme (1)
- Chorome (1)
- Cloud (1)
- Delicious (1)
- Flickr (1)
- Git (1)
- Google AdSense (1)
- Google AppEngine (1)
- Google Calendar (1)
- Google Libraries API (1)
- Google検索 (1)
- Goolge App Engine (1)
- Greasemonkey (1)
- Network (1)
- Outlook (1)
- Posterous (1)
- RSS (1)
- SAStruts (1)
- Server (1)
- WMware (1)
- YouTube (1)
- cron (1)
投稿
0 件のコメント:
コメントを投稿