  |
はい! こんにちは! Hamachiya2ですよ!
いま、エガミくんの書き込みみながら、ざくっとソースみてみたよー。
XSSの対策ってね、ぼくもよくわかってないけど、
「出力時にエスケープする」っていうのが定石らしいよ。
でもエガミくんのやろうとしたのは「入力時のエスケープ」だね。
だから $_GET のところ(入力)で何かをするのではなくて…、
レスポンスのコーナーのところ。htmlに変数埋め込んで echo してるとこ。
そこの全ての変数をエスケープしちゃう方がいい感じかな。
その際に注意すべきは、htmlの属性内(alt=ナントカとか、src=ナントカとか)に変数を埋め込んでいる場合は、ちゃんとクオートの類もエスケープする感じ?
echo '<img src="' . $hensuu . '" alt="ぺろぺろ" />';
とかなら、$hensuu はダブルクオートもエスケープだよ。
あ、htmlspecialchars ってダブルクオートはデフォルトで「"」に変換されるんだっけ?
ちょっと試してみてね。
もし↓こんな風に、htmlの属性のクオートにシングルクオートを使ってる場合だと…
echo "<img src='" . $hensuu . '" alt='ぺろぺろ' />";
これは
echo "<img src='" . htmlspecialchars($hensuu, ENT_QUOTES) . '" alt='ぺろぺろ' />";
こうする感じかな?
あと、サンプルコードには含まれていなかったけど、
本番の方だと、htmlのheadの中でも変数つかってるよね。
たとえば、xxxで検索すると、titleタグやメタタグにもxxxが入ってくる。
そのあたりも、とりあえず「表示しようとしてる箇所」の「表示する一歩手前」で全てエスケープしてやればいいと思うよ。
もしかしたら言ってること間違ってるかもしれないけど、
その時はきっと誰かが突っ込んでくれるはずー。
追記
あと、寂しいことってなに?
Permalink | トラックバック(1) | 04:50 
こんにちは! id:Hamachiya2 ですよー。 ブックマークコメントでIDコールされたけど、 「コメント返すためにブクマ (してリンクジュースを流すこと) 」は、ちょっと今回は間接的にでも...
id:hiroyukiegamiです。 おぉ、確かにおっしゃるとおりです。 丸投げしてしまい申し訳御座いません。 分からない点を投げさせてもらいますね。 id:zapaさんとかがやっている荒らしソースは...
はい! こんにちは! Hamachiya2ですよ! いま、エガミくんの書き込みみながら、 ざくっとソースみてみたよー。 XSSの対策ってね「出力時にエスケープする」っていうのが定石らしいよ。 ...
早速お返事有難う御座います!id:hiroyukiegamiです! id:Hamachiya2先生からのまとめ なるほど!前回 $Hamachiya2 = htmlspecialchars($_GET["data"], ENT_QUOTES); //←ここを追加 $params = array('api_key' => 'フリッ...
うーん。 http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27xss%27)%3B%3C%2Fscript%3E ってすると、JavaScript(alert)が実行されちゃうんだよね。 だったらまず、その実行されちゃった...
http://anond.hatelabo.jp/20081020050922 id:hiroyukiegamiだよ! 先生から ブラウザから「htmlのソースを表示」ってしてみてくれるかな。 とアドバイスを貰って http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript...
はいこんにちは! Hamachiya2だよ。 alertでなくなったね。こんな短時間ですごい。 エガミくん飲み込みはやい感じだね…。 ええと、あとは、下の方の画像で、どうもマーキータ...
http://anond.hatelabo.jp/20081020054933 id:hiroyukiegamiだよ! id:Hamachiya先生から2つの課題を貰ったよ! 1つめ!! 1つは、タグをエスケープしわすれている箇所がある点 ↑これは勉強になる!実際...
はい!こんにちは!Hamachiya2だよ。 簡単に言うと、この数十個の文字で変数で囲んということだったのですか?? この数文字の魔法を教えてもらってたらすぐ実践してたんですか...
http://anond.hatelabo.jp/20081020064209 id:hiroyukiegamiだよ! id:Hamachiya先生本当に有難う御座いました! やってみれば、ものすごい簡単なことだよね、これ。 なんでみんな、たった一言「htmlspecialch...
コイツホントに自分勝手なやつだな。
やってみれば、ものすごい簡単なことだよね、これ。 なんでみんな、たった一言「htmlspecialchars()でくくれよ!」って 直接、正解を言ってくれなかったんだろう。一言で済むのにね。 ...
つーかid:hiroyukiegamiで書かれたものも実は全部はまちちゃん、ってオチはないよな?
これわかってないの本人だけなんだろうなw
id:hiroyukiegamiだよ! えーー!!! これワナだったの!? 確かに分かってなかったの俺だけだったかも。。。
http://anond.hatelabo.jp/20081020092227 id:hiroyukiegamiだよ! なんでそんなこと言うの?そんなことあるわけない! 一緒にメシ喰った仲のはまちちゃんがそんな意地悪するわけない!! 追伸 恵比寿...
Hamachiya2だけど、エガミくんとはゴハンどころか、 会ったことすらないよ。 前にチャットで言ったよね、嘘つかないほうがいいよ、って。 あと、ぼくのidはHamachiyaじゃなくて「Hamachiya2」...
http://anond.hatelabo.jp/20081020065005 はい!こんにちは!Hamachiya2だよ。 おまんこぉ!おまんこぉ熱いよお! ちんぽ汁!ちんぽ汁出ちゃう!!!
みんなでやるのは楽しいかもしれないけど、一方的に教える人の時間の都合も聞かずに質問しまくられるのは楽しくなさそう。 自分勝手さを披露して、みんなの心象が墜落する様を見て...
えがちゃん、あのね。ちょっとおどろいた。 あっ、でもこれってそれだけXSSの脆弱性って大事って事なんですか?? http://anond.hatelabo.jp/20081020062655 最初っからずっとみんなが言ってる...
ちなみに、何で悪い大人の人はXSSの脆弱性を突いてきて悪い事をするんですかー?? 悪い大人でも悪いことでもないよ。 やろうと思えばもっともっと悪いこともできるのに、alert出す...
はまちちゃんのオトナを感じる…。
私は単なる一増田でしかないのだが、なんとなく今日を増田的情報セキュリティの日とすることに決めた。 なぜって、今日は、年末年始という忙しく、そして狙われやすい時期をはさみ...
よそでやってほしいとおもうんだが。 http://anond.hatelabo.jp/20081020032812
それが増田の良さとも思うが、一日に100組の交換日記が開始されるとかなり複雑な気分になるだろうなあ。
やったこと無いのか?交換日記
やったことあるのか?増田で交換日記?
何日かに渡って意見交換したことあるよ。日記じゃないけど。
これはえがい人が画像in - サクサク画像検索しちゃう http://gazo.in/ と言うサービスをリリースする。 ↓ 永上裕之(えがちゃん)という男 - 変なオジサン♪ http://d.hatena.ne.jp/goodhome/20080820/12192021...
http://anond.hatelabo.jp/20081002025403 ハテブ1番目が本人な件について。 自分ストーカーなのか、ただの目立ちたがり屋なのか。
けんすうとかさとるあたりと組むとおもしろそうな人だなー、と思う。 この無闇なバイタリティーと自己顕示欲の強さ。
けんすうみたいな編集長と組んで何になるんだよw
凄く嬉しいことが起きたえがちゃんは凄いよ - IT戦記に取り上げていただいた!!今までの流れはこれはえがい人とgoodhomeの揉め事のまとめと言う感じです。だって、めっちゃ勉強してる...
これはえがい人とgoodhomeの揉め事のまとめ えがちゃんだっけ? これなぁ。どうも解せないんだよな。いや、もちろん批判してるやつがね。 言いたい放題批判してるやつって自分が当...
ストーカーツールのような人格を疑うようなサイトを作ったり、中身のないサイトを目立とうといろいろ騒いでみたり がんばる方向が違う上、突っ込みを入れられるようなセキュリティ...
いやまあ、批判はしないんだけどさ。 他人事なのでどうでも良いけどさ。 しかし、ちょっと怖いな、って思うときがある。 それでいいの?って。 後で後悔しない?って。 ドキドキしな...
初心者を批判し過ぎる風潮が嫌過ぎる のブクマコメ http://b.hatena.ne.jp/FTTH/20081002#bookmark-10245511 2008年10月02日 FTTH FTTH # |ω・)…… あれapiにフロントエンド付けただけみたいなもん...
基本的に賛成。 しかしこういうエントリ書くと必ず一人は 「本当にいいものを作る奴は、そんな批判や罵倒で凹んで作るのをやめたりしない」 とか言うんだよな。「本当の○○は俺たち...
>初心者を批判し過ぎる風潮が嫌過ぎる 叩かれてるのはえがちゃんだけじゃない? 初心者じゃない、向上心がない、迷惑かけてる意識がない、っていう理由で叩かれてるように見える。...
アピールばかりの口だけ番長を応援して 黙々と頑張る奴には見向きもしない - 変なオジサン♪ http://d.hatena.ne.jp/goodhome/20081001/1222845543 で、こいつは何者なの? http://anond.hatelabo.jp/200810020...
>アピールばかりの口だけ番長を応援して 黙々と頑張る奴には見向きもしない どっかの国の所信表明演説関連のネタかと思ったよ。
やる気満々で余計な事されるぐらいなら無為無策のほうがいいけどね。
http://anond.hatelabo.jp/20081002025403 いきなり嵐の様に現れたと思ったら、 凄い勢いではてな界隈で名を馳せているみたいだけど あまりにも有名になるまでの流れが周到すぎると思う。 こい...
この土日はかなりハードでしたいままは、こういった流れで色々な方と色々な話をさせていただいておりました。そして、昨日実際にそんなはてな界隈の人たちと色々会ってきました。価...
一点だけ・・・・どうしてすぐ偉い人に会いたがるのかってことが 何かあると会いたい会いたい、会って話したい 軽い有名エンジニアからコメントがあっただけでもう 会いたい会いた...
そろそろさ、釣られるのやめにしない? だってさ、明らかに釣られてるぜ? いちいちリンクすんのも馬鹿みたいだし、説明すんのも馬鹿みたいだから全部省略するけど、結局アクセス...
そろそろさ、釣られるのやめにしない? だってさ、明らかに釣られてるぜ? いちいちリンクすんのも馬鹿みたいだし、説明すんのも馬鹿みたいだから全部省略するけど、結局アクセス...
ひろゆきさんの言っていた事をさとるさんが・・・!エガぺインターを公開。 - satoru.netの自由帳のエントリーを見て、最初僕は、はめられた。と思ったのですが、さとるさんはエンジニ...
http://blog.livedoor.jp/ikiradio/archives/51058656.html なにこれ? もう、コイツおかしくなってんじゃん。 関連 http://anond.hatelabo.jp/20081002025403 http://anond.hatelabo.jp/20081008122720
と言うことはまだかな? http://anond.hatelabo.jp/20081002025403
人並みの知性も、社会性も、常識も、コミュニケーション能力も 真摯な反省も、たぶん技術力も、いっさいが不足している永上さんを相手に 「言葉が通じそうだと思っている人たち」っ...
永上裕之タイフーン第一波となったこのエントリー わからないことは先輩に聞きまくる<中略>メッセかスカイプで先輩にききまくりましょう!割かし、この根性が早くサービスを作れ...
anond:20081009134931 関連エントリーこれ加えてやれよ>>元増田(anond:20081002025403) 何か不都合でもあるのか?
anond:20081002025403 メールや電話で聞こうかと思ったけど 誤解されてさらされたら傷付くからここで。 これだけアンチにいじめられるあなたのメンタルタフネスが心配です ネットの反応...
http://anond.hatelabo.jp/20081002025403 このまとめを上から下まで流し読みしてみて 一体こいつは何様?と思った物があった。 人工無脳が作りたい http://d.hatena.ne.jp/happy_ryo/20081008#1223435298 他の...
雑誌に載ってるからすごいって、それなんてスイーツ(笑)。
自分が知っているかどうかしか有名かどうかの判断基準が無いの?
そろそろ自重はダークサイドに関して一言言っておくか 最近「自重はダークサイド」などと言って調子にのっている、世間の厳しさも知らないガキが居る。 そうid:happy_ryoお前だ...
村のはなしはどうでもいいだ。 妬みや嫉みは自分の不満を他人に押し付けているだけなので誰も幸せにはしてくれない。 絡まないのがベスト。
えがちゃんいじめ えがちゃんはなんだかんだ言われても サービス作って雑誌にまでのってるんだから 何もしてないのと変らないような こういう人まで周りに踊らされて叩くのはおか...
http://anond.hatelabo.jp/20081002025403 最近、何かと話題の人のまとめ。 なんだかな〜と思っちゃうんだけど、ウダウダ言ってないで手を動かせ!ってのも分かるけど どうしようもない事にリソ...
ネット上のやり取りだけで人格批判に及ぶのは危うい。もう少し彼の人となりに注視してはどうだろうか。 http://lh6.ggpht.com/Natsuminimum/R2ZBrQ52igI/AAAAAAAAA2k/zzvkilZzOHY/s576/PC155116.JPG フリーサイ...
2008/10/20 エガミくんの脆弱性のやつ とその返事 2008/11/11 彼氏がphp使ってた。別れたい… 2008/11/12 取締役がありえない失言をしてた。ユーザーサポート辞めたい… 2008/11/13 ウェブカレ1000万...