水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2007年のえび日記 > 2007年4月 > 2007年4月17日(火曜日)

2007年4月17日(火曜日)

Smarty のいろいろなところで任意の PHP コマンド

【PHP TIPS】 27. Smarty内でPHP関数を使う (itpro.nikkeibp.co.jp)」。Smarty には「PHPタグ」というものがあって、その中で任意の PHP コマンドが使えることは有名です。が、実は PHPタグを使用しなくても任意コマンドが実行できるという話……で良いのですかね。$security_settings (smarty.php.net)を見ると、何を許可するのか細かく設定できるみたいですね。

関連する話題: PHP / セキュリティ

実体参照と文字参照

まだまだあるクロスサイト・スクリプティング攻撃法 (itpro.nikkeibp.co.jp)」。第三回ですね。

<P style="{ color: &#x65;xpression('blue') }"> /* 実体参照 */

それ実体参照ではありませんね……。それは文字参照ではありますが、文字実体参照ではなく数値文字参照のほうです。

実体参照というのは実体宣言で定義した実体を参照しているから実体参照と呼ばれるのです。符号化文字集合のコードポイントを直接指定する数値文字参照は、実体参照ではありません。ちゃんと使い分けたいですね。

※XML の場合は &amp; などはいちいち宣言しなくても使えることになっているのですが、それも "Predefined" という扱いですから……。

※仕様の "24 Character entity references in HTML 4 (www.w3.org)" を読むと実体宣言の中に数値文字参照が出現している様などが見られるので、そう間違えたりしなくなると思いますが、Web のプロでない人にそこまで求めるのは酷かな……。

関連する話題: HTML / セキュリティ / 狙われるWebアプリケーション / ITpro

私物PCを調査しようとする会社

会社が個人PCを調査することに同意しますか? (slashdot.jp)」という話、興味深いですね。

もちろん、裁判所の発行した令状がない限り、同意なしに家宅捜索なんてできませんが……「何で同意しないの? やましいことがあるんじゃないの? 評価下がるよ?」という圧力で、無理矢理同意させられるというパターンはありそうですね。

私の場合、私物 PC を見られると、未公表かつ未修正の脆弱性関連情報がざくざく出てきてしまうのが困りもの。

※逆に、「いやー、経済産業省告示で見せちゃいけないことになってますんで、どうしても調査したいなら経済産業省から許可取ってください」という主張で何とか切り抜けられるかなぁ。

関連する話題: プライバシー / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング