[過去ログ] 【PHP】下らねぇ質問はここに書き込みやがれ 12 (1002レス)
1-
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
535: (ワッチョイ faad-ozmT) 2021/07/30(金)19:29 ID:B9OLCwSG0(2/2) AAS
どうせなら新しい8を勉強した方が効率いいかなと思ったんですけど、今使っているレンタルサーバがまだ8に対応してませんでした
7.3以上ですね、わかりやすそうな本を店頭で探してみます
予約システムの作り方とか似たようなものがないかも探してみよう

ローカルの環境開発、どの本にも書いてあったので昔入れてました
懐かしい
これも入れておきます
いつ完成するかわかりませんが久しぶりで楽しみです
アドバイスありがとうございした
536(1): (オッペケ Sr05-4OD8) 2021/07/30(金)19:29 ID:r27NHL07r(1/8) AAS
img.phpを用意して<img src="output_image.php?id=12123">
header.phpのbodyに<img src="output_image.php?id=12123">と追加したのですが表示されないようです。
output_image.php?idで画像を表示できるのでしょうか?
537: 蟻人間◆T6xkBnTXz7B0 (スフッ Sd9a-KTRx) 2021/07/30(金)19:34 ID:GDRR8sIEd(1/2) AAS
確認します。
img.phpというファイルはありますか?
output_image.phpというファイルはありますか?
output_image.php?id=...
に直接アクセスして画像は表示されますか?
538: (オッペケ Sr05-4OD8) 2021/07/30(金)19:40 ID:r27NHL07r(2/8) AAS
画像パスがupload.php?item=12123となっているのに対し
<img src="upload.php?id=12123">では取得できない気がするのですが、idから取得できるんでしょうか?
539: (オッペケ Sr05-4OD8) 2021/07/30(金)19:46 ID:r27NHL07r(3/8) AAS
output_image.phpというファイルを作って中に<img src="upload.php?id=12123">
header.phpのbodyに<img src="upload.php?id=12123">と記載しても表示されません

直接output_image.php?id=12123にアクセスしても表示されないようです
540: (オッペケ Sr05-4OD8) 2021/07/30(金)19:58 ID:r27NHL07r(4/8) AAS
wordpressの場合特殊なのか、idから画像をリサイズして表示するときに<php echo wp_get_attachment_link( 12123 ); ?>で表示されました。

テンプレートタグ/wp get attachment link - WordPress Codex 日本語版
541: (ワッチョイ d563-IKHw) 2021/07/30(金)19:58 ID:ScATWV4k0(1) AAS
そらそうだろ
542: (オッペケ Sr05-4OD8) 2021/07/30(金)20:00 ID:r27NHL07r(5/8) AAS
いずれはwordpressではなくデータベース軸でサイトを立ててみたいので、output_image.php?id=...で
なぜ表示できないのかも知りたいんですが…
543: (オッペケ Sr05-4OD8) 2021/07/30(金)20:09 ID:r27NHL07r(6/8) AAS
<php echo '<img src="data:image/jpeg;base64,' . base64_encode(file_get_contents('wp-content/uploads/2021/07/7mgpH3K.jpg')) . '">';?>

だと同じように表示されました。教えていただきありがとうございます。
第三者がアップロードするかどうかでセキュリティを考えるんですね、コメントしかりページナビしかりマイページ機能しかり。
544(1): 蟻人間◆T6xkBnTXz7B0 (スフッ Sd9a-KTRx) 2021/07/30(金)20:34 ID:GDRR8sIEd(2/2) AAS
WordPressはWPの作法に従わないと動かないことがあるよ。裏でCSSやら.htaccessやらJavaScriptやらが動いていて、実際の処理は隠蔽されてるから。
545: (オッペケ Sr05-4OD8) 2021/07/30(金)21:45 ID:r27NHL07r(7/8) AAS
>>544
ありがとうございます
546(2): (オッペケ Sr05-4OD8) 2021/07/30(金)21:52 ID:r27NHL07r(8/8) AAS
> 「不正な画像をアップロード」できるのも内部犯に限られることになる

XSS を利用して不正アップロードする手口が徳丸さんのとこで紹介されていました。
動画リンク[YouTube]

WordPress なら外部から似たような攻撃でアップロードされる可能性があるので、プログラムレベルでも適切にアップロード対策をしておくべきだと思います。

このような回答が追加されていたのですが外部からも勝手にアップロードされる危険性はあるのでしょうか?
547: (ワッチョイ d610-oSv0) 2021/07/30(金)23:36 ID:1geFHcN20(1) AAS
ありますよ。実際に自分はアップローダーからマルウェア仕込まれて
VPSサーバーを総入れ替え舌経験があります。
WordPress宛の攻撃は毎日あるし、できる対策は全てしたほうが良いでしょうね
548(1): (アウアウウー Sa09-d0wC) 2021/07/31(土)01:52 ID:v7hkUDSma(1) AAS
この動画を見たところ検索フォーム?のXSS対策コードの記載漏れから不正コードを入力されて管理画面に侵入されたみたいですが

要するに第3者が侵入出来るような検索フォームやお問い合わせフォームやコメントフォームやマイページの対策を怠らない事で防げるということですよね?
自分のみがアップロードする場合は該当しないのでしょうか?
549: 蟻人間◆T6xkBnTXz7B0 (スフッ Sd9a-KTRx) 2021/07/31(土)03:18 ID:ZYWMYotdd(1) AAS
脆弱性は様々な枯れてない技術から発見されている。あのWPだってあちこちからゼロデイ攻撃が見つかっている。WP のテーマやプラグインにも脆弱性がある。度重なる更新や脆弱性に対応できないならWPを使うのをやめた方がいい。

パスワードセキュリティにも危険性がある。パスワードはセキュリティの基本であり、5文字程度の単純なパスワードはパスワードクラッカーで短い時間で突破されてしまう。攻撃者は性能の高い計算能力を持ち、世界中のどこからでも攻撃できる。パスワードは単純なのはダメ、短いのはダメ、憶測できるのはダメ。

あるいはソーシャルハッキングや電波漏れなどの未知のハッキング手法からも攻撃が成立することがある。

こうすれば絶対にハッキングされないという方法はないが、危険性が高いものを避けることは可能。
550(1): (ワッチョイ d610-oSv0) 2021/07/31(土)10:31 ID:fqpnvpaJ0(1) AAS
>>548
WordPressの場合、自分は管理画面のURL変えてIP制限入れてますよ。
自分のみがアップロードなら、自分しか使えないIPアドレス制限した方がいいし、
ホスト名とか環境変数とか、そこまでチェックした方が確実だと思います。

ま、一番良いのはWordPress使わないことですけどね
551: (ワッチョイ 56bb-ds/h) 2021/07/31(土)10:46 ID:z/SvtBD30(1/2) AAS
>>550
動画見ろよ
IPの制限無関係に投稿する仕組みの紹介だぞ
552(2): (ワッチョイ fa02-ufkm) 2021/07/31(土)11:04 ID:JJoM48pY0(1/2) AAS
わざとセキュリティホール作って、ほらね?危ないでしょ?ってアホかよw
まずWPに同じセキュリティホールあるかの議論が先だろw
無いけどw
553(1): (ワッチョイ 56bb-ds/h) 2021/07/31(土)11:34 ID:z/SvtBD30(2/2) AAS
>>552
ユーザ投稿のプレビュー箇所とアップロード機能を持つ管理画面って,WordPressで頻繁に見るんだが?
それぞれに問題箇所があるとwebshell置かれて終了!の可能性を指摘する動画だけど、理解できてる?
554(1): (ワッチョイ 9154-mx9M) 2021/07/31(土)11:37 ID:BUpo1U8M0(1) AAS
プログラムで例えば4×4のマップがあった場合、4という数字は私は格子点数と呼んでいますが、皆さんは何と呼びますか?
1-
あと 448 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.096s