php引用符で囲まない属性値のクロスサイトスクリプティングのサンプルを作ってみた。 Webエンジニアの雄大です。 今回もクロスサイトスクリプティングのお話。 ユーザ入力値をHTMLタグの属性値として画面に出力するときの対処方法は2つあるとされています。 ・必ず入力値をダブルクォーテーション「""」で囲う。 ・ダブルクォーテ...2011.07.24phpsecurity
html/javascriptinnerhtmlでクロスサイトスクリプティングのサンプルを作りたかったのだけれども… Webエンジニア・ソーシャルメディアを研究している雄大です。 昨日はdocument.writeを使って、クロスサイトスクリプティングの簡単なサンプルを作った ので、今回はinnerhtmlに挑戦してみました。 inner.php <?ph...2011.07.24html/javascriptphpsecurity
html/javascriptHTMLエンコードしても、クロスサイトスクリプティングが発生するサンプルプログラム Webエンジニア・ソーシャルメディアの研究をしている雄大です。 HTMLエンコード、htmlspecialcharsを使っても、クロスサイトスクリプティングが発生するサンプルプログラムを書いてみました。 documentwrite.php ...2011.07.23html/javascriptphpsecurity
phpSQLインジェクションが簡単に試せるプログラム(PHP×sqlite)を作ってみた。 Webエンジニアの雄大です。 人様のサイトを攻撃するのは、犯罪の一種なので、 SQLインジェクションが簡単に試すことができるプログラムを作ってみました。 たしかに、逆に試せるサイトなんてあったら、恐ろしい…。 今回、Mysqlなどの準備は面...2011.07.18phpsecurity
phpリダイレクト先のドメインをチェックするためのサンプルプログラム Webエンジニアの雄大です。 リダイレクト先のドメインをチェックするために、正規表現を使うときが多いと思いますが、自分自身、正規表現にあまり強くないので、サンプルのプログラムを書いてみました。 <html> <head> <meta cha...2011.07.17phpsecurity
phphiddenって簡単に書き換えられてしまうけれども… Webエンジニアの雄大です。 hiddenパラメータは簡単に書き換えることができてしまう。 例えば、こんな感じで。 test1.php <form action ="test2.php" method="POST"> <input type...2011.07.17phpsecurity
html/javascriptブログ上にhtmlコードをそのまま表示させたいとき Webエンジニア、ソーシャルメディア研究をしている雄大です。 ブログ上にhtmlコードをそのまま表示させたいとき、ちょっと困った事が起きます。 例えば、 <a href="test.html">test</a> なぜ、そのまま表示できている...2011.05.22html/javascriptsecurity