丁寧なお返事が来た
ここまで丁寧な返事をいただけるとそもそもの「あおり(何」とかを明確な意図を併記せずに使用したことを謝らなければいけない気がします.
すみませんでした.
このコメントで少しフォローを書いてみるので多少はなるほどーがあると幸いです.
あーこれは単にセキュリティ云々で煽られたので書いただけです。意味は特に無し。つまらないかもしれないけど、ネタ。まあ、毎回僕のブログを見てる人がいるとすれば判るノリですが、はじめてみるであろうelfさんが判るはずも無いとは思います&つまらないと思います。虎の威を借るとかではないです。流石にそこまで痛くない(苦笑
確かに初めて見ました.feed経由technorati経由かもしれません.
いきなり余談ですが,フィードなどでエントリ単位で細切れ配信されるのは,そのブログなりの文化をくみ取らずにエントリ単体そのもので評価してしまうことが少なくない気がします.
ごくまれに私もそういうことを喰らうことがありますが,やった方として今後はもう少しは意識しないといけないなぁと思いました.
これ↑を再読するに、まあこれからページをつくる人かな。
ですね.
個人的に引用の方法として「思う」に相当する言葉を割愛することが多いです。今回の例で「と思う」とつけるつけないでそれほどニュアンスの強弱が出るとは個人的には思いませんが、引用元の貴方が納得されていないようなのでつけておきますね。
今後はそういう風に私自身は読むのでお気になさらずに;-)
ここが僕の引っ掛かったところなんだろうなと思いました。貴方はあおりであることは明示しつつ、僕(のエントリ)に対して煽ってないという。で「セキュリティとかどういうことか分からないかもしれない人」が「クラックされるサイト増産」することへの危惧を煽りっぽく書いたってことですね。判りました。「そしてクラックされるサイト増産」というタイトルの「そして」がどこにかかってて、かかってる先をどの程度揶揄してるのかはわかりませんけど。
大体そんな感じです.程度はあんまり考えていないので読んだ方が感じた程度でかまいません.
初心者が偉そうなことを言うのもアレなんですが初心者の僕に言わせるとプロ?の方の説明って彼らにとっての前提を端折りすぎで全く意味が判らないことが多いです。極める!の執筆陣の本も幾つか読んだけど大体そんな感じでしたね、、。(とか書いて著作がある人が何人いるのか知らないから一発で特定される悪寒)。
100%言い訳ですけど,少なくとも紙メディアはおおよそ企画段階で総ページ数が決まるので,当然記事単位のページ数の制限があるんですよね.
他の方はきっちりされているので問題ないのかもしれませんし問題あるのかもしれませんがわかりません.
私は提示されたページ数の大体最低1.5倍は書いてしまうので(最初に書きたいことをだーっと書く),後でどれ位元の大きさにまとめられるか? ということをすることになります.
これは事前に上記のようなスタイルを編集の方に相談をさせていただいています.
#一番酷いのはWEB+DB Press Vol.33は実は当時「3ページでお願いします」だったのですが,できあがったら15ページ位(編集談)という話でした
その後削減しつつ出版社の方の努力で10ページまで確保していただき現在の形に至ります.
極めちゃってくださいな書籍もおおよそ予定の2倍以上のボリュームから削減と他の方の余分をかき集めるみたいな状態(苦笑 になりました.
まるごとPHP! では1つ まるまるボツ になったりとかありましたね(苦笑
#URL出してますけどこの本かなり売れまくったみたいですけど今までもこれからもガツガツ売れても原稿料から追加で何か支払いがあったという事実は多分ありません(Vol.2あるのかなーあってもネタどうしたものか
これは「こんなに沢山情報を書けるんだZE!!」という自慢にはまったくならず,むしろ要求規模で書けないダメライターになると思います.
もし気に入らなければ出版社に「あいつに書かすな!!」と是非提言してください.
賛否どちらでもいいのでメッセージがある方がまだ私としては(うれしんだか悲しいんだかはわからないけど)いいので.
セキュリティ云々のことでいえば、勿論さまざまなケースはあると思いますが、大抵の教科書的本にはクロスサイトスクリプティングとSQLインジェクション程度のことは書いてて、htmlspecialchars()とか使いましょうねとか推奨されてると思います。そして僕が思うに、その程度のセキュリティ対策はするだろうし、その程度のことが出来ない人はPHPで何かを作るということは難しいような気がします。そうなると貴方が煽りたい&言いたいことってあんまり意味が判らないなあと思ったんですよね。
ご本人がそういう意図はなかったみたいなんでアレですけど、僕や初心者を揶揄した発言に思えました。あとバカの一つ覚えみたいにhtmlspecialchars()とか言ってる僕ですが、それだけでカバーできるケースと駄目なケースみたいなのもこの際だから教えて欲しいなと。$_GETで??で書きましたがこういうケースではhtmlspecialchars()程度では駄目なんですかね?あとSQLインジェクションの件も生で渡さずにhtmlspecialchars()通してから、とか。ヘッダーを送るとか、セッションがどうこうとかになるとまたちょっと違うんだと思いますが。
#どこからどこまで引用したらいいのかわからなかったので丸ごと行っちゃいます.でかくでごめんなさい.
まず上記情報だけで問題なのはhtmlspecialchars()の仕様がありますね.
http://blog.ohgaki.net/index.php/yohgaki/2006/03/23/htmlentitiesa_raspa_a_afia_a_s
にあるように,えてして第2引数(決めうち的にいうとENT_QUOTES)を付けなければ問題になることがあります.
echo "<input type='text' name='foo' value='".htmlspecialchars($input)."' />";
$input = "しんぐるくおーとで'
とかやってるひとをよく見かけますが,
$input = "しんぐるくおーとで'<script...></script>属性値を括っているとこういうとき問題";
といった入力値を渡されると
<input type='text' name='foo' value='しんぐるくおーとで'<script...></script>属性値を括っているとこういうとき問題' />
となります.HTMLとPHPを混在している人や上記を知らないライターが書いた書籍によくあります.
まぁこれは第2引数は常に付けろってところで.
っで,引用だけで防げないかもしれない者にディレクトリトラバーサルがあります.
例えば「あるURLに『?name=
とかやったとします.独自でメニューとかヘッダーフッターなどを付加して任意のページ数を出力する定番的なネタだと思うのですが,これもありがちロジックとして簡単に書くとこんな感じになると思います.
$filename = isset($_GET['name'])? $_GET['name']: 'index.html';
readfile('data/header.html'); // ヘッダーとかメニューとか
readfile('data/$filename); // 実際に表示したいコンテンツ
readfile('data/footer.html'); // フッターとか超簡単!!PHPステキ!!な感じですね.2つめのreadfile()を「readfile($_GET['name'])」とかやって「3行でできるCMS」みたいなノリの方が簡単さを煽る書き方で定番かもしれません(俺はreadfileとかじゃねーぜとかはあると思いますけど).
で,これはこんなことをやられちゃうんですよね.
http://www.example.com/?../../../../../../../../../../../../../../../../etc/passwd
半年ほど前に炎上していたブログ(最後には管理者が関連エントリを削除だか大規模な削除線とか警告だか)があった気がします.うろ覚えなので勘違いかもしれないけど.
上記でいうと何らかの手段でウェブから見えないようにしていてもウェブサーバーがアクセスできるものはみんな見えてしまいます.
この辺はセーフモードで防げる可能性はありますが,自分で評価したことも使ったことがないこと,そもそも共有サーバーなどでは設定されていないかもしれないことがあると思います.
また,細かいことだとマニュアルに記載されている範囲内の仕様に関しても実際にはバージョンによって振る舞いが変わる(影響範囲がについて最近のPHPのセキュリティホールとして報告されて修正というパターンが多い)のであまり信用できないんじゃないかと思います.
他にもあると思いますが,「何故そうなるのか?」とか「っで結局すごい大問題なの? 自分に関係あるの?」とか度がより低くなりそうなこと,そもそも眠いので一旦割愛させていただきます.
