security

php

引用符で囲まない属性値のクロスサイトスクリプティングのサンプルを作ってみた。

Webエンジニアの雄大です。 今回もクロスサイトスクリプティングのお話。 ユーザ入力値をHTMLタグの属性値として画面に出力するときの対処方法は2つあるとされています。 ・必ず入力値をダブルクォーテーション「""」で囲う。 ・ダブルクォーテ...
html/javascript

innerhtmlでクロスサイトスクリプティングのサンプルを作りたかったのだけれども…

Webエンジニア・ソーシャルメディアを研究している雄大です。 昨日はdocument.writeを使って、クロスサイトスクリプティングの簡単なサンプルを作った ので、今回はinnerhtmlに挑戦してみました。 inner.php <?ph...
html/javascript

HTMLエンコードしても、クロスサイトスクリプティングが発生するサンプルプログラム

Webエンジニア・ソーシャルメディアの研究をしている雄大です。 HTMLエンコード、htmlspecialcharsを使っても、クロスサイトスクリプティングが発生するサンプルプログラムを書いてみました。 documentwrite.php ...
php

SQLインジェクションが簡単に試せるプログラム(PHP×sqlite)を作ってみた。

Webエンジニアの雄大です。 人様のサイトを攻撃するのは、犯罪の一種なので、 SQLインジェクションが簡単に試すことができるプログラムを作ってみました。 たしかに、逆に試せるサイトなんてあったら、恐ろしい…。 今回、Mysqlなどの準備は面...
php

リダイレクト先のドメインをチェックするためのサンプルプログラム

Webエンジニアの雄大です。 リダイレクト先のドメインをチェックするために、正規表現を使うときが多いと思いますが、自分自身、正規表現にあまり強くないので、サンプルのプログラムを書いてみました。 <html> <head> <meta cha...
php

hiddenって簡単に書き換えられてしまうけれども…

Webエンジニアの雄大です。 hiddenパラメータは簡単に書き換えることができてしまう。 例えば、こんな感じで。 test1.php <form action ="test2.php" method="POST"> <input type...
html/javascript

ブログ上にhtmlコードをそのまま表示させたいとき

Webエンジニア、ソーシャルメディア研究をしている雄大です。 ブログ上にhtmlコードをそのまま表示させたいとき、ちょっと困った事が起きます。 例えば、 <a href="test.html">test</a> なぜ、そのまま表示できている...