[過去ログ]
【PHP】下らねぇ質問はここに書き込みやがれ 12 (1002レス)
【PHP】下らねぇ質問はここに書き込みやがれ 12 http://mevius.5ch.net/test/read.cgi/tech/1619667579/
上
下
前
次
1-
新
通常表示
512バイト分割
レス栞
このスレッドは過去ログ倉庫に格納されています。
次スレ検索
歴削→次スレ
栞削→次スレ
過去ログメニュー
485: デフォルトの名無しさん (アウアウクー MM05-KMlg) [] 2021/07/26(月) 20:20:23.98 ID:BzqZLuZJM 1つ聞きたいんですが画像ファイルのセキュリティについてです。 自分の調べた聞いて理解した範囲では画像を<img src="画像URL">で表示するのは、 画像を表示するためにそのURLにアクセスできるので危険 ↓ 画像をbase64にエンコードします デコード(複合化)もできるので意味がほぼないです ↓ サイズとMIMEチェックをして画像を表示させる前に、画像ファイルである事を確認する 必要ならサイズやビット深度を変更する https://teratail.com/questions/350744で聞くと, ファイルをアップロードするのは「サイト運営側」だけであれば問題ありません。 https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13246474913で聞くと、 mineチェックとサイズ変更しなさい、 できればアップロード時のファイル名を元のものから変更する、自サイトのページ内に配置された画像としてしかアクセスを禁止するなどしなさい 結局どれが正解なんでしょうか? http://mevius.5ch.net/test/read.cgi/tech/1619667579/485
486: デフォルトの名無しさん (ワッチョイ 8bbb-OwHR) [sage] 2021/07/26(月) 20:26:04.88 ID:B9v6ZV500 >>485 どのようなリソースをどのような攻撃から守るかの仕様が提示されない以上正解はありません セキュリティポリシーやセキュリティ設計から見直してください 実装を決めるのはその後です http://mevius.5ch.net/test/read.cgi/tech/1619667579/486
487: デフォルトの名無しさん (ワッチョイ 1302-/zz1) [sage] 2021/07/26(月) 20:31:09.20 ID:7+uo32oc0 >>453 >>485 お前のやりたいことはWordpressの管理画面からアップした画像の表示だろ そんなもんのセキュリティ気にして変換する奴なんていねーよ つーかWPスレ池 http://mevius.5ch.net/test/read.cgi/tech/1619667579/487
488: デフォルトの名無しさん (ワッチョイ 8bbb-OwHR) [sage] 2021/07/26(月) 21:10:41.62 ID:B9v6ZV500 >>487 アップロードは常に気をはれよ https://www.youtube.com/watch?v=oh1gyuqdcH8 http://mevius.5ch.net/test/read.cgi/tech/1619667579/488
489: デフォルトの名無しさん (ワッチョイ 1302-/zz1) [sage] 2021/07/26(月) 22:18:00.65 ID:7+uo32oc0 >>488 俺に気をはれと言われましてもw http://mevius.5ch.net/test/read.cgi/tech/1619667579/489
490: デフォルトの名無しさん (オッペケ Sr85-KMlg) [] 2021/07/26(月) 22:31:24.99 ID:nQwBFtLMr >>487 wordpress以外でも同じでしょ? それに管理画面からじゃなくフォルダのディレクトリに置いたファイルの話なんで画像限定じゃないですね phpやcssのファイルでも同様かどうか知りたいです http://mevius.5ch.net/test/read.cgi/tech/1619667579/490
491: デフォルトの名無しさん (オッペケ Sr85-KMlg) [] 2021/07/26(月) 22:44:03.71 ID:nQwBFtLMr 画像ファイルのアップロードの時のセキュリティはwordpress関係なく同じでしょ http://mevius.5ch.net/test/read.cgi/tech/1619667579/491
492: デフォルトの名無しさん (ワッチョイ 1302-/zz1) [sage] 2021/07/26(月) 22:56:31.97 ID:7+uo32oc0 >>491 WPインストールしたらアップロード周りのソース全部読んでセキュリティホール無いことを確認するの? WPで画像表示する時は表示用PHP作ってbase64変換かますの? そして、アップロードする時は常に気をはるの? http://mevius.5ch.net/test/read.cgi/tech/1619667579/492
493: デフォルトの名無しさん (アウアウウー Sa5d-XNQa) [] 2021/07/27(火) 00:25:56.73 ID:eUxCT57wa >>492 そんなことはしませんが、最低限のセキュリティは同じでしょ? base64じゃセキュリティにならないからファイルを関数化して複雑なファイル名にする それプラス最低限のセキュリティ、今回は画像なのでMIMEチェック もし自分以外のユーザーが画像を上げるなら 自サイトのページ内に配置された画像としてしかアクセスを禁止する word pressだからセキュリティは要らないっていうのはおかしいでしょ http://mevius.5ch.net/test/read.cgi/tech/1619667579/493
494: デフォルトの名無しさん (ワッチョイ 1302-/zz1) [sage] 2021/07/27(火) 01:30:32.63 ID:7P6684PB0 >>493 >>487 を読み返してください WPが前提、WPのシステムからアップされたメディアファイルの話し 更に言えば、このスレに住み着いてるWPガイジへのレス(アンカー見ればわかるでしょう)で自分で弄ることが前提 そして事の発端は >>指定画像を出力したうえでメニューを作りたい だからね? >そんなことはしませんが と仰られるように、前のレスの質問にNoと言うことはWPのシステムのセキュリティをある程度信頼してるわけですよね この件ではそれで十分だろうと言う話ですよ セキュリティの一般論の話なんてしてませんよ http://mevius.5ch.net/test/read.cgi/tech/1619667579/494
495: デフォルトの名無しさん (ワッチョイ b963-3Z6B) [sage] 2021/07/27(火) 01:51:04.21 ID:sIvc9ZAG0 ここはPHPの質問をするスレ WPの質問なら移動してください http://mevius.5ch.net/test/read.cgi/tech/1619667579/495
496: デフォルトの名無しさん (ワッチョイ 532c-MYQi) [sage] 2021/07/27(火) 04:39:04.62 ID:x4yitIm80 Word Press の質問は、web制作管理板のスレの方へ移動してください! Laravel のスレも、この板に立てている香具師がいる。 Laravelの質問は、WEBプログラミング板の方へ! http://mevius.5ch.net/test/read.cgi/tech/1619667579/496
497: デフォルトの名無しさん (ワッチョイ d352-DMdn) [sage] 2021/07/27(火) 06:50:44.81 ID:L674X5NC0 >>496 お前が言うな Rubyバカ http://mevius.5ch.net/test/read.cgi/tech/1619667579/497
498: デフォルトの名無しさん (アウアウクー MM05-Cd1h) [sage] 2021/07/27(火) 07:09:26.40 ID:CFpUohJoM WPスレにいる者だが絶対こっち来るなよ ガイジ過ぎて手に負えんわ http://mevius.5ch.net/test/read.cgi/tech/1619667579/498
499: デフォルトの名無しさん (ワッチョイ 7bad-USot) [sage] 2021/07/27(火) 08:14:32.01 ID:SyBbAbx40 質問は>>485であってwordpress関係ないだろ >>487が勝手にwordpressだって決めつけてる 質問も意味不明だけどね、何を聞きたいのか簡潔にしてほしい > つーかWPスレ池 お前がいけよw http://mevius.5ch.net/test/read.cgi/tech/1619667579/499
500: デフォルトの名無しさん (ワッチョイ 2954-p8kO) [] 2021/07/27(火) 09:02:44.68 ID:opDlelu60 るびースレに行ってもらえば万事解決するんじゃないかな http://mevius.5ch.net/test/read.cgi/tech/1619667579/500
501: デフォルトの名無しさん (ワッチョイ 1302-/zz1) [sage] 2021/07/27(火) 09:30:06.62 ID:7P6684PB0 >>458 の質問者は少し前のWPのページネーションの奴だし、そいつは更に前のRSSの奴でもある ってことでこのスレに住み着いてるWPガイジであることは確定なんですわw 何が気に食わないのか知らんけど残念だったねwww https://teratail.com/users/homepage-site#question http://mevius.5ch.net/test/read.cgi/tech/1619667579/501
502: デフォルトの名無しさん (ワッチョイ b37d-5SC8) [sage] 2021/07/27(火) 10:01:53.85 ID:DZV4D5nN0 >>493 セキュリティと権限をごっちゃにしてそう http://mevius.5ch.net/test/read.cgi/tech/1619667579/502
503: デフォルトの名無しさん (エムゾネ FF33-Hgw+) [sage] 2021/07/27(火) 15:53:11.92 ID:Dog97BpdF >>495 ほんそれ http://mevius.5ch.net/test/read.cgi/tech/1619667579/503
504: デフォルトの名無しさん (ワッチョイ 7108-8Xcr) [sage] 2021/07/28(水) 10:44:10.50 ID:5Wbud5da0 >>485 関連レスをザッとだけ読んだけど、スレ回答者の中にもおかしな事を言ってるやつはわりといる いちいち指摘してたらキリないから割愛するが、スレ回答者の皆が実務経験豊富なプロってわけじゃないからなぁ… でもお前さんも、自分が「思い込みが激しくて頭が固いタイプ」だって事は自覚しよう rssの質問のときも、print_r($rss); とするだけで理解できる筈の事を理解できず、質問を繰り返してたでしょ? だからスレが荒れるんだよ? 分かる? http://mevius.5ch.net/test/read.cgi/tech/1619667579/504
505: デフォルトの名無しさん (ワッチョイ 7108-8Xcr) [sage] 2021/07/28(水) 10:44:53.11 ID:5Wbud5da0 >>485 で、元の質問は>>453でしょ? 画像を出力するコードの中にHTMLを出力すれば、意図した結果にならないのは当たり前 普通は「画像出力専用のPHP」を用意してこうやる <img src="output_image.php?id=12345"> そして「HTMLを出力するPHP」の中で下記のようにすればいいだけ <html> <body> <img src="output_image.php?id=12345"> </body> こういう発想ができないのは、頭が固い証拠 どうしても1つのPHPファイルの中で、画像の出力とHTMLの出力とを同時に行いたい場合はこうする echo '<img src="data:image/jpeg;base64,' . base64_encode(file_get_contents('img/abc/123.jpg')) . '">'; 要するに、画像(バイナリデータ)をbase64でエンコードし「文字列(テキストデータ)として出力」すればいい(インラインイメージと呼ぶ) これに「セキュリティ的な意味はほぼない」ので、勘違いしないよう インラインイメージで画像を出すかどうか?ってだけ まぁこんな事をやってもメリットなんか無いから、普通は「画像出力専用のPHP」を用意する http://mevius.5ch.net/test/read.cgi/tech/1619667579/505
506: デフォルトの名無しさん (ワッチョイ 7108-8Xcr) [sage] 2021/07/28(水) 10:46:52.30 ID:5Wbud5da0 >>485 >>505に書いたoutput_image.phpの仕様がもし output_image.php?path=img/abc/123.jpg のように、画像のパスを渡したらその内容をそのまま表示するとなっていた場合、「パストラバーサル」と呼ばれる脆弱性が発生する危険性がある 例えば、pathの値が「img/../../../secret.txt」だった場合、意図せずsecret.txtの中身が第三者に読まれてしまうって事ね だから、そうならないようpathの値をしっかりチェックしないといけないのだけど、一連の質問を見ている感じ、あなたにそれを自前でやるのは無理だと思う なので、「ファイルパスを渡す」のではなく、最初の例のように「画像を識別できるIDを渡す」ようにすればいい ※?path= で値を受け取るPHPをインターネット上に公開し、ログを取ってみるといい ※笑うぐらい攻撃があちこちから飛んでくるのが確認できるから http://mevius.5ch.net/test/read.cgi/tech/1619667579/506
507: デフォルトの名無しさん (ワッチョイ 7108-8Xcr) [sage] 2021/07/28(水) 10:50:19.40 ID:5Wbud5da0 >>485 最後に アップロード処理が管理者にしかできない = 第三者に変なファイルをアップされる心配がないのであれば、 <img src="img/abc/123.jpg"> で別にええのよw img/abc/123.jpg というファイルパスを第三者に知られたくないなら、>>505の例のように「間にPHPをかまして出力」すれば良いってだけ 逆に、第三者に変なファイルをアップされる心配があるのであれば、「アップロード処理の際に(出力の時ではなく)」厳密なチェック処理をしないとダメ それについては、>>466さんも紹介してくれている https://qiita.com/mpyw/items/939964377766a54d4682 を読めばいい ・第三者が自由にファイルがアップロードできる ・アップロード処理の際に上記のようなチェック処理ができてない ・アップロードされたファイルへ第三者がアクセスできる 3つの条件を満たしているとセキュリティ的にヤバいよねってだけ 例えば、「任意のファイルを自由に読み書きできるPHPファイル」をアップロードしそれがそのまま実行できたらヤバいでしょ? 分かる? http://mevius.5ch.net/test/read.cgi/tech/1619667579/507
508: デフォルトの名無しさん (ワッチョイ 0bba-p8kO) [] 2021/07/28(水) 12:52:23.66 ID:9bJDIHUz0 釣り質問にマジレスすんなよアホ http://mevius.5ch.net/test/read.cgi/tech/1619667579/508
509: デフォルトの名無しさん (ワッチョイ 137d-p8kO) [sage] 2021/07/28(水) 12:58:32.36 ID:pYNLf1nF0 釣りレスですしw http://mevius.5ch.net/test/read.cgi/tech/1619667579/509
510: デフォルトの名無しさん (ワッチョイ 7108-8Xcr) [sage] 2021/07/28(水) 16:52:40.91 ID:5Wbud5da0 >>476 ゴミレスに埋もれて気づかなかったw PHPの記述を exec('ipconfig', $message); ↓ exec('chcp 932 | ipconfig', $message); に変えたら上手くいくと思う 932はCP932(SJIS)の事ね http://mevius.5ch.net/test/read.cgi/tech/1619667579/510
511: デフォルトの名無しさん (ワッチョイ 7108-8Xcr) [sage] 2021/07/28(水) 16:54:11.72 ID:5Wbud5da0 >>479 error_reporting(E_ALL); ini_set('display_errors', 1); $url = "https://f.irbank.net/files/8700/fy-profit-and-loss.json"; $json = file_get_contents($url); var_dump($json); ってやったらどうなる? string(1676) "{"meta":{"type":"\u696d\u7e3e","item":{"\u5e74\u5ea6":["\u58f2\u4e0a\u9ad8",… みたいなレスポンスが返ってこない? とりあえず↓の行は要らんでしょ $json = mb_convert_encoding($json, 'UTF8', 'ASCII,JIS,UTF-8,EUC-JP,SJIS-WIN'); >>481 関係ない PHPのバージョンぐらいは書いた方がいいが http://mevius.5ch.net/test/read.cgi/tech/1619667579/511
512: デフォルトの名無しさん (オッペケ Sr85-KMlg) [] 2021/07/28(水) 20:23:13.38 ID:jpPdNADXr >>507 それをあわせてファイルをチェックするのが MIMEチェックをして画像を表示させる前に、画像ファイルである事を確認するってことですよね? 画像をecho '<img src="data:image/jpeg;base64,' . base64_encode(file_get_contents('img/abc/123.jpg')) . '">';で表示して MIMEチェックするのがそんなに難しいことなんですか? http://mevius.5ch.net/test/read.cgi/tech/1619667579/512
513: デフォルトの名無しさん (ワッチョイ b98c-MEjp) [sage] 2021/07/28(水) 21:08:58.35 ID:IWCDcnnv0 >>510 どうもありがとうございます! とても助かりました http://mevius.5ch.net/test/read.cgi/tech/1619667579/513
514: デフォルトの名無しさん (ワッチョイ 7108-8Xcr) [sage] 2021/07/28(水) 22:44:28.91 ID:5Wbud5da0 >>512 MIMEのチェックが必要なのは、「第三者が」画像の「アップロードをするとき」の話ね 画像を表示させる前にそんなものは要らない > MIMEチェックするのがそんなに難しいことなんですか? PHPでアップロード処理した際、MIMEタイプは $_FILES['hoge']['mime'] に入るんだけど、 それは偽装できる だからその値は信用せず mime_content_type() などで別途チェックしようってこと 当たり前だが、自分しかアップロードしないならそんなチェックはしなくていい つかさ、「自分(管理者)しか画像をアップロードしない」のか それとも「第三者も画像をアップロードする」のか、 まずはそこをハッキリさせるべき だから回答もめちゃくちゃになる http://mevius.5ch.net/test/read.cgi/tech/1619667579/514
515: デフォルトの名無しさん (ワッチョイ 532c-MYQi) [sage] 2021/07/29(木) 05:06:26.04 ID:Bm0Z0U0B0 画像データの中に、ウイルスなどを入れてくるかも知れない だから、本当に画像形式なのか、全バイト調べる必要がある http://mevius.5ch.net/test/read.cgi/tech/1619667579/515
516: デフォルトの名無しさん (ワッチョイ 8bbb-OwHR) [sage] 2021/07/29(木) 05:43:31.56 ID:4AVEtKuA0 >>514 > 当たり前だが、自分しかアップロードしないならそんなチェックはしなくていい これ、管理画面からしか画像アップロードを許さないって状況を言ってるんだと思うけど、その場合もちゃんとチェックすべき 他の脆弱性と合わせて管理者権限でアップロードする手口があるので、このへんで手は抜かないほうがいい http://mevius.5ch.net/test/read.cgi/tech/1619667579/516
517: デフォルトの名無しさん (ワッチョイ b93e-H0iZ) [sage] 2021/07/29(木) 09:05:26.98 ID:rmmFdFBh0 自分で変なファイル置いちゃうかもしれんしな http://mevius.5ch.net/test/read.cgi/tech/1619667579/517
518: デフォルトの名無しさん (ワッチョイ 0934-nYep) [] 2021/07/29(木) 09:20:26.22 ID:zpf7CT600 え?お前らSFTPで画像アップロードする時なんかもMIMEタイプのチェックやってるの? 管理者権限奪取されるような状況でMIMEタイプのチェックなんか意味ないだろw http://mevius.5ch.net/test/read.cgi/tech/1619667579/518
519: デフォルトの名無しさん (ワッチョイ b93e-96xQ) [] 2021/07/29(木) 09:39:40.25 ID:rmmFdFBh0 自分WPしらんから適当言ってる http://mevius.5ch.net/test/read.cgi/tech/1619667579/519
520: デフォルトの名無しさん (ワッチョイ 7108-8Xcr) [sage] 2021/07/29(木) 11:01:03.28 ID:CBbl/boe0 >>516 >>453に "wp-content/uploads/2021/07/7mgpH3K.jpg" ってパスがあるからWordPressだよね WordPressの管理画面からアップロードされたファイルは、 デフォのディレクトリ構成なら最終的には wp-content/uploads/ 以下の「公開ディレクトリ」に置かれる なのでWordPressへその画像が表示される際も <img src="ttps://example.com/wp-content/uploads/○○.jpg"> という形になる だったら>>453も単に <img src="ttps://example.com/wp-content/uploads/○○.jpg"> とすれば終わりの話だよw でも、何がしたいのかよく分からんが、>>453ではわざわざ readfile() とか使ってるw まぁでも、WordPress管理画面から自分がアップロードし公開ディレクトリに置かれたものなのだから、 readfile() でそれをそのまま出力しても問題はないさ http://mevius.5ch.net/test/read.cgi/tech/1619667579/520
521: デフォルトの名無しさん (ワッチョイ 7108-8Xcr) [sage] 2021/07/29(木) 11:02:30.36 ID:CBbl/boe0 >>520の話は俺より先に ID:7+uo32oc0 さんが指摘してるし、>>494さんもそれをフォローしてる そこへゴチャゴチャ言うのがいるから話がこじれる 453は「HTMLとPHPの役割分担すら理解できてないヤベー人」なわけで、 そんな人へゴチャゴチャ言っても理解できるわけがないのにさ WPスレへ行けといくら書こうが無駄なのだし、 さっさと問題を解決しスレから居なくなってもらうのがベターかと http://mevius.5ch.net/test/read.cgi/tech/1619667579/521
522: デフォルトの名無しさん (ワッチョイ b963-3Z6B) [sage] 2021/07/29(木) 11:13:22.62 ID:WLwj6dDv0 当人は自分宛レスに書かれた内容の三割も理解出来ていなさそう http://mevius.5ch.net/test/read.cgi/tech/1619667579/522
523: デフォルトの名無しさん (ワッチョイ 4901-nYep) [] 2021/07/29(木) 11:17:31.59 ID:HtmB+4p50 セキュリティの一般論なんか持ち出すのがいけない http://mevius.5ch.net/test/read.cgi/tech/1619667579/523
524: デフォルトの名無しさん (ワッチョイ 532c-MYQi) [sage] 2021/07/29(木) 12:43:26.88 ID:Bm0Z0U0B0 >>520 >だったら >>453 も単に <img src="ttps://example.com/wp-content/uploads/○○.jpg"> とすれば終わりの話 公開ディレクトリなのに、URL で書かないといけないの? 相対パスで書けないの? http://mevius.5ch.net/test/read.cgi/tech/1619667579/524
525: デフォルトの名無しさん (ワッチョイ 7bad-USot) [sage] 2021/07/29(木) 12:51:10.23 ID:ELCmA1Vb0 もう当人居なくなってるだろ http://mevius.5ch.net/test/read.cgi/tech/1619667579/525
526: デフォルトの名無しさん (ワッチョイ 1302-/zz1) [sage] 2021/07/29(木) 13:05:58.67 ID:k08R/6yd0 >>521 ID:7+uo32oc0 と >>494 はワッチョイ見れば同一人物ってわかるよ そして私だ!フォローthx! あとね ワッチョイ 532c-MYQi ID:Bm0Z0U0B0 はRubyガイジなんでスルー推奨 http://mevius.5ch.net/test/read.cgi/tech/1619667579/526
527: デフォルトの名無しさん (ワッチョイ b37d-p7II) [sage] 2021/07/29(木) 13:14:38.56 ID:kQQSV7PN0 こいつサイトに載せるバナーイラストをお絵描き板で個スレ立てて練習してるやつと同一かな? pixivを超えるサイトを作るらしいぞ。だから第三者がアップロードする事に拘ってるんだと思うぞ。 http://mevius.5ch.net/test/read.cgi/tech/1619667579/527
528: デフォルトの名無しさん (ワッチョイ 4901-E+HM) [sage] 2021/07/29(木) 15:46:28.70 ID:1U+sby820 >>524 WPではアップした画像がWPを通して表示される時は絶対URLで記載される http://mevius.5ch.net/test/read.cgi/tech/1619667579/528
529: デフォルトの名無しさん (ワッチョイ 7108-8Xcr) [sage] 2021/07/29(木) 18:37:55.60 ID:CBbl/boe0 >>526 たしかに同一人物だ あまりにも口調が違うから気づかなかったw Rubyガイジの件もサンクス これも気づいてなかった >>528 だね フィルタ使って 'attachment_link' や ''wp_get_attachment_url' に対し絶対URLを相対パスへ変換するフィルタを適用すれば 相対パスに変える事もできるけどね 526が教えてくれたけど、524はRubyガイジみたいだから相手にしなくていいよ http://mevius.5ch.net/test/read.cgi/tech/1619667579/529
530: デフォルトの名無しさん (ワッチョイ 7108-8Xcr) [sage] 2021/07/29(木) 18:43:11.67 ID:CBbl/boe0 Rubyガイジのレベルは>>483見ればお察しやねw WordPressスレ見てみたけど、そっちにもRubyガイジが顔出してるしスレがまともに機能してなかった そりゃこっちに来るわ http://mevius.5ch.net/test/read.cgi/tech/1619667579/530
531: デフォルトの名無しさん (ワッチョイ faad-ozmT) [] 2021/07/30(金) 15:35:03.64 ID:B9OLCwSG0 2005年前後にに発行されたPHPの本がたくさんあります バージョン4や5辺りです 以前はこれらの本を見ながら簡単なことをやったりしていましたがもう完全に忘れています 今、小さな店のweb予約システムをPHPで作りたいと思っています 今はPHPのバージョン7か8でしょうか 新規に本を揃えた方がいいですよね? おすすめの本、勉強方法などあったら教えてください スレチであれば誘導お願いします http://mevius.5ch.net/test/read.cgi/tech/1619667579/531
532: デフォルトの名無しさん (ワッチョイ 8ead-Yiki) [sage] 2021/07/30(金) 15:41:02.56 ID:c+ndNg5Q0 バージョン7.3以上がいいよ 残念ながら4や5はもう完全に化石 http://mevius.5ch.net/test/read.cgi/tech/1619667579/532
533: デフォルトの名無しさん (ワッチョイ d52c-Fdub) [sage] 2021/07/30(金) 16:28:29.52 ID:7i2immr80 PHPの本は半分くらい攻撃対策がページを占めてる印象 http://mevius.5ch.net/test/read.cgi/tech/1619667579/533
534: デフォルトの名無しさん (ワッチョイ d108-1vA1) [sage] 2021/07/30(金) 17:00:35.86 ID:UtQvC7c20 >>531 本が必要なら買い換えるべき(最低限PHP7…できれば7.3〜対応のものを ) 作りたいものがはっきり決まってるのはとても良い事 とにもかくにも、まずはローカルにまともな開発環境を作ろう スレの質問を見てると、開発環境を作れていないであろう人の質問は色んな意味でヤバいw 開発環境を作るのははじめは面倒だと思うけど急がば回れ ※533はRubyガイジなので注意 http://mevius.5ch.net/test/read.cgi/tech/1619667579/534
535: デフォルトの名無しさん (ワッチョイ faad-ozmT) [sage] 2021/07/30(金) 19:29:14.24 ID:B9OLCwSG0 どうせなら新しい8を勉強した方が効率いいかなと思ったんですけど、今使っているレンタルサーバがまだ8に対応してませんでした 7.3以上ですね、わかりやすそうな本を店頭で探してみます 予約システムの作り方とか似たようなものがないかも探してみよう ローカルの環境開発、どの本にも書いてあったので昔入れてました 懐かしい これも入れておきます いつ完成するかわかりませんが久しぶりで楽しみです アドバイスありがとうございした http://mevius.5ch.net/test/read.cgi/tech/1619667579/535
536: デフォルトの名無しさん (オッペケ Sr05-4OD8) [] 2021/07/30(金) 19:29:28.58 ID:r27NHL07r img.phpを用意して<img src="output_image.php?id=12123"> header.phpのbodyに<img src="output_image.php?id=12123">と追加したのですが表示されないようです。 output_image.php?idで画像を表示できるのでしょうか? http://mevius.5ch.net/test/read.cgi/tech/1619667579/536
537: 蟻人間 ◆T6xkBnTXz7B0 (スフッ Sd9a-KTRx) [sage] 2021/07/30(金) 19:34:30.43 ID:GDRR8sIEd 確認します。 img.phpというファイルはありますか? output_image.phpというファイルはありますか? output_image.php?id=... に直接アクセスして画像は表示されますか? http://mevius.5ch.net/test/read.cgi/tech/1619667579/537
538: デフォルトの名無しさん (オッペケ Sr05-4OD8) [] 2021/07/30(金) 19:40:25.38 ID:r27NHL07r 画像パスがupload.php?item=12123となっているのに対し <img src="upload.php?id=12123">では取得できない気がするのですが、idから取得できるんでしょうか? http://mevius.5ch.net/test/read.cgi/tech/1619667579/538
539: デフォルトの名無しさん (オッペケ Sr05-4OD8) [] 2021/07/30(金) 19:46:25.67 ID:r27NHL07r output_image.phpというファイルを作って中に<img src="upload.php?id=12123"> header.phpのbodyに<img src="upload.php?id=12123">と記載しても表示されません 直接output_image.php?id=12123にアクセスしても表示されないようです http://mevius.5ch.net/test/read.cgi/tech/1619667579/539
540: デフォルトの名無しさん (オッペケ Sr05-4OD8) [] 2021/07/30(金) 19:58:25.74 ID:r27NHL07r wordpressの場合特殊なのか、idから画像をリサイズして表示するときに<php echo wp_get_attachment_link( 12123 ); ?>で表示されました。 テンプレートタグ/wp get attachment link - WordPress Codex 日本語版 http://mevius.5ch.net/test/read.cgi/tech/1619667579/540
541: デフォルトの名無しさん (ワッチョイ d563-IKHw) [sage] 2021/07/30(金) 19:58:58.68 ID:ScATWV4k0 そらそうだろ http://mevius.5ch.net/test/read.cgi/tech/1619667579/541
542: デフォルトの名無しさん (オッペケ Sr05-4OD8) [] 2021/07/30(金) 20:00:25.98 ID:r27NHL07r いずれはwordpressではなくデータベース軸でサイトを立ててみたいので、output_image.php?id=...で なぜ表示できないのかも知りたいんですが… http://mevius.5ch.net/test/read.cgi/tech/1619667579/542
543: デフォルトの名無しさん (オッペケ Sr05-4OD8) [] 2021/07/30(金) 20:09:34.89 ID:r27NHL07r <php echo '<img src="data:image/jpeg;base64,' . base64_encode(file_get_contents('wp-content/uploads/2021/07/7mgpH3K.jpg')) . '">';?> だと同じように表示されました。教えていただきありがとうございます。 第三者がアップロードするかどうかでセキュリティを考えるんですね、コメントしかりページナビしかりマイページ機能しかり。 http://mevius.5ch.net/test/read.cgi/tech/1619667579/543
544: 蟻人間 ◆T6xkBnTXz7B0 (スフッ Sd9a-KTRx) [sage] 2021/07/30(金) 20:34:44.87 ID:GDRR8sIEd WordPressはWPの作法に従わないと動かないことがあるよ。裏でCSSやら.htaccessやらJavaScriptやらが動いていて、実際の処理は隠蔽されてるから。 http://mevius.5ch.net/test/read.cgi/tech/1619667579/544
545: デフォルトの名無しさん (オッペケ Sr05-4OD8) [] 2021/07/30(金) 21:45:55.50 ID:r27NHL07r >>544 ありがとうございます http://mevius.5ch.net/test/read.cgi/tech/1619667579/545
546: デフォルトの名無しさん (オッペケ Sr05-4OD8) [] 2021/07/30(金) 21:52:20.21 ID:r27NHL07r > 「不正な画像をアップロード」できるのも内部犯に限られることになる XSS を利用して不正アップロードする手口が徳丸さんのとこで紹介されていました。 https://www.youtube.com/watch?v=FpCabifwhKg WordPress なら外部から似たような攻撃でアップロードされる可能性があるので、プログラムレベルでも適切にアップロード対策をしておくべきだと思います。 このような回答が追加されていたのですが外部からも勝手にアップロードされる危険性はあるのでしょうか? http://mevius.5ch.net/test/read.cgi/tech/1619667579/546
547: デフォルトの名無しさん (ワッチョイ d610-oSv0) [sage] 2021/07/30(金) 23:36:35.91 ID:1geFHcN20 ありますよ。実際に自分はアップローダーからマルウェア仕込まれて VPSサーバーを総入れ替え舌経験があります。 WordPress宛の攻撃は毎日あるし、できる対策は全てしたほうが良いでしょうね http://mevius.5ch.net/test/read.cgi/tech/1619667579/547
548: デフォルトの名無しさん (アウアウウー Sa09-d0wC) [] 2021/07/31(土) 01:52:34.20 ID:v7hkUDSma この動画を見たところ検索フォーム?のXSS対策コードの記載漏れから不正コードを入力されて管理画面に侵入されたみたいですが 要するに第3者が侵入出来るような検索フォームやお問い合わせフォームやコメントフォームやマイページの対策を怠らない事で防げるということですよね? 自分のみがアップロードする場合は該当しないのでしょうか? http://mevius.5ch.net/test/read.cgi/tech/1619667579/548
549: 蟻人間 ◆T6xkBnTXz7B0 (スフッ Sd9a-KTRx) [sage] 2021/07/31(土) 03:18:27.24 ID:ZYWMYotdd 脆弱性は様々な枯れてない技術から発見されている。あのWPだってあちこちからゼロデイ攻撃が見つかっている。WP のテーマやプラグインにも脆弱性がある。度重なる更新や脆弱性に対応できないならWPを使うのをやめた方がいい。 パスワードセキュリティにも危険性がある。パスワードはセキュリティの基本であり、5文字程度の単純なパスワードはパスワードクラッカーで短い時間で突破されてしまう。攻撃者は性能の高い計算能力を持ち、世界中のどこからでも攻撃できる。パスワードは単純なのはダメ、短いのはダメ、憶測できるのはダメ。 あるいはソーシャルハッキングや電波漏れなどの未知のハッキング手法からも攻撃が成立することがある。 こうすれば絶対にハッキングされないという方法はないが、危険性が高いものを避けることは可能。 http://mevius.5ch.net/test/read.cgi/tech/1619667579/549
550: デフォルトの名無しさん (ワッチョイ d610-oSv0) [sage] 2021/07/31(土) 10:31:19.92 ID:fqpnvpaJ0 >>548 WordPressの場合、自分は管理画面のURL変えてIP制限入れてますよ。 自分のみがアップロードなら、自分しか使えないIPアドレス制限した方がいいし、 ホスト名とか環境変数とか、そこまでチェックした方が確実だと思います。 ま、一番良いのはWordPress使わないことですけどね http://mevius.5ch.net/test/read.cgi/tech/1619667579/550
551: デフォルトの名無しさん (ワッチョイ 56bb-ds/h) [sage] 2021/07/31(土) 10:46:33.80 ID:z/SvtBD30 >>550 動画見ろよ IPの制限無関係に投稿する仕組みの紹介だぞ http://mevius.5ch.net/test/read.cgi/tech/1619667579/551
552: デフォルトの名無しさん (ワッチョイ fa02-ufkm) [sage] 2021/07/31(土) 11:04:47.11 ID:JJoM48pY0 わざとセキュリティホール作って、ほらね?危ないでしょ?ってアホかよw まずWPに同じセキュリティホールあるかの議論が先だろw 無いけどw http://mevius.5ch.net/test/read.cgi/tech/1619667579/552
553: デフォルトの名無しさん (ワッチョイ 56bb-ds/h) [sage] 2021/07/31(土) 11:34:42.98 ID:z/SvtBD30 >>552 ユーザ投稿のプレビュー箇所とアップロード機能を持つ管理画面って,WordPressで頻繁に見るんだが? それぞれに問題箇所があるとwebshell置かれて終了!の可能性を指摘する動画だけど、理解できてる? http://mevius.5ch.net/test/read.cgi/tech/1619667579/553
554: デフォルトの名無しさん (ワッチョイ 9154-mx9M) [] 2021/07/31(土) 11:37:50.11 ID:BUpo1U8M0 プログラムで例えば4×4のマップがあった場合、4という数字は私は格子点数と呼んでいますが、皆さんは何と呼びますか? http://mevius.5ch.net/test/read.cgi/tech/1619667579/554
555: デフォルトの名無しさん (ワッチョイ fa02-ufkm) [sage] 2021/07/31(土) 18:56:05.10 ID:JJoM48pY0 >>553 一連の流れでセキュリティの指摘をしたわけではなく、ただ動画を宣伝したかっただけなんですね! 理解できましたw http://mevius.5ch.net/test/read.cgi/tech/1619667579/555
556: デフォルトの名無しさん (ワッチョイ d108-1vA1) [sage] 2021/08/02(月) 10:21:18.11 ID:JwyUb7gK0 >>536 Oh... それ、単に「例」として出しただけなのでw 例えば(あくまでも例え話ねw) ID | 画像のパス 1 | hage/abc.jpg 2 | fuge/345.jpg みたいにデータ管理してたとして、 id=1 を渡せば hage/abc.jpg を取得できるようにすれば結果的に output_image.php?id=1 とすれば、「hage/abc.jpg」を表示できるでしょ?ってこと それを、 output_image.php?path=hage/abc.jpg みたいに直接パスを渡すような設計にしてると、あなたのレベルでは危ないよってだけ http://mevius.5ch.net/test/read.cgi/tech/1619667579/556
557: デフォルトの名無しさん (ワッチョイ d108-1vA1) [sage] 2021/08/02(月) 10:45:18.84 ID:JwyUb7gK0 >>546 > 外部からも勝手にアップロードされる危険性はあるのでしょうか? そりゃ「可能性」はあるよw 人間が作るものにバグ(脆弱性)がないものなんてない で、>>546にはその動画の意味は理解できる? 理解できてないよね 理解できてないのに、何をどうやって「対策」するの?w その動画に指摘されている脆弱性は、「プラグインのXSS脆弱性を悪用した攻撃」なので、 対策といったところで、あなたのレベルでできるのは「WP本体やプラグインは常に最新版を使う」事ぐらいだよ? ※その動画の攻撃例は管理画面にIP制限なんかしても無駄ですw 結局、「画像は546本人しかアップロードしない」んだよね? だったら、「アップロードした画像には問題ない」事を前提に話を進めようよ 546は、「HTMLやPHPの基礎がないままWordPressから始めた」のがいけない 基礎がガタガタなの そんな人が細かい事を気にしたところで、話は前に進まんよ http://mevius.5ch.net/test/read.cgi/tech/1619667579/557
558: デフォルトの名無しさん (ワッチョイ d108-1vA1) [sage] 2021/08/02(月) 10:50:01.92 ID:JwyUb7gK0 >>552 >>555 546の動画の例は、WordPressでECサイトを構築する際の「超定番」プラグインEC-CUBEのXSS脆弱性を悪用したもので、 「実際に悪用事例も出た」ものだけどね… そんな事すら理解できないなら、横からしゃしゃり出てこずに黙っておけw http://mevius.5ch.net/test/read.cgi/tech/1619667579/558
559: デフォルトの名無しさん (ワッチョイ d108-1vA1) [sage] 2021/08/02(月) 10:59:23.86 ID:JwyUb7gK0 >>546 >>557に補足しとくと、WordPress本体・プラグイン・テーマファイルの致命的な脆弱性を悪用され、 WordPress権限から自由にファイルのアップロード・編集が可能になった場合、 サーバー内の画像をPHP経由で出力する際のセキュリティ(笑)なんか、いくら考えても無駄ですw その点については>>518さんが指摘している通り 例えるなら、「ヘルメットを被っていたら快速電車にダイブしても大丈夫だよね?」って聞いてるみたいもんw だから、自分しかアップロードしない画像ファイルは安全であるという前提で、話を進めようよ…いや頼むからそうしてくれw てかRSSの時もそうだけど、たったこんだけの事にどんだけ時間かけてるのよw http://mevius.5ch.net/test/read.cgi/tech/1619667579/559
560: デフォルトの名無しさん (ワッチョイ 8ead-Yiki) [sage] 2021/08/02(月) 11:36:09.87 ID:CDsmjzwf0 いいから構うやつもまとめてWPスレ行って帰ってくるなよ http://mevius.5ch.net/test/read.cgi/tech/1619667579/560
561: デフォルトの名無しさん (ワッチョイ 9905-pCDs) [sage] 2021/08/02(月) 11:55:16.38 ID:jY8DN4600 自演ですし http://mevius.5ch.net/test/read.cgi/tech/1619667579/561
562: デフォルトの名無しさん (スプッッ Sd9a-1M12) [sage] 2021/08/02(月) 14:06:37.03 ID:LY8fDkppd 最初から自分しかアップロードしない前提なのにどんだけレスしたら気が済むの、このセキュリティガイジ http://mevius.5ch.net/test/read.cgi/tech/1619667579/562
563: デフォルトの名無しさん (ワッチョイ 4ee6-8rSu) [sage] 2021/08/02(月) 14:39:06.84 ID:nA0UljqA0 セキュリティガイジは別人だろ ガイジなのは質問者、それに対しセキュリティ全波の話を持ち出してる人、煽るしか能のない人 http://mevius.5ch.net/test/read.cgi/tech/1619667579/563
564: 蟻人間 ◆T6xkBnTXz7B0 (スフッ Sd9a-jBGF) [sage] 2021/08/02(月) 14:51:48.05 ID:LkFRX9kvd >>554 普通にサイズでよくね? http://mevius.5ch.net/test/read.cgi/tech/1619667579/564
565: デフォルトの名無しさん (ワッチョイ 5d01-QEAr) [sage] 2021/08/04(水) 15:31:27.53 ID:QhYrANy70 Array(a1,b1,c1,d1,...)とArray(a2,b2,c2,d2,...)を足し算して、 2次元配列にする時って、どうすればいいでしょうか? $x[0]がArray(a1,b1,c1,d1,...)の時、 $x[1] = $s;としたら、 $xがArray(a2,b2,c2,d2,...)で上書きされてしまいました。 http://mevius.5ch.net/test/read.cgi/tech/1619667579/565
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
あと 437 レスあります
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
AAサムネイル
Google検索
Wikipedia
ぬこの手
ぬこTOP
0.014s