  |
http://anond.hatelabo.jp/20081020054933
1つめ!!
1つは、タグをエスケープしわすれている箇所がある点
↑これは勉強になる!実際にやってみます!
変更前
//変更前 echo $server_id."/".$id."_".$secret."_s.jpg' border=0 title=$title alt=$title />"; echo $server_id."/".$id."_".$secret."_s.jpg' border=0 title=nl2br(htmlspecialchars($title, ENT_QUOTES)) alt=nl2br(htmlspecialchars($title, ENT_QUOTES)) />"; //変更後
2つめ!!
もう1つが、htmlの属性値(alt=ナントカとか)をクオートでくくってない点
↑これは勉強になる!実際にやってみます!
変更前
//変更前 echo $server_id."/".$id."_".$secret."_s.jpg' border=0 title=$title alt=$title />"; $title = nl2br(htmlspecialchars($title, ENT_QUOTES)); echo $server_id."/".$id."_".$secret."_s.jpg' border=0 title='\"$title\"' alt='\"$title\"' />"; //変更後
このソースがの中で書かれてるのでちゃんち「"」の前の「\」をつけて「\"」って言うのが忘れかけてて危なかったです!(えへ)
完璧やないかーい!
http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27xss%27)%3B%3C%2Fscript%3E
ちゃんとソースも
<a href='http://farm4.static.flickr.com/3022/2930297659_dc20386697.jpg' rel=lightbox><img src='http://farm4.static.flickr.com/3022/2930297659_dc20386697_s.jpg' border=0 title='"XSS session 1"' alt='"XSS session 1"' /></a>
とうまく表示されてます!
本当に有難う御座います!!
簡単に言うと
↓
nl2br(htmlspecialchars($hensuu, ENT_QUOTES)) と出力のところで囲んであげて
↓
"nl2br(htmlspecialchars($hensuu, ENT_QUOTES))" 更に"とかで囲んであげる
簡単に言うと、この数十個の文字で変数で囲んということだったのですか??
この数文字の魔法を教えてもらってたらすぐ実践してたんですか・・・。
でも、もしかしたら実はもっとXSSの脆弱性って色々深い事があるんですかね!?
それだけエガミくんの生み出すものが注目されているってことだよ。
目立つとどうしても悪い人も寄ってきちゃうから困るよね。
なるほど!!!こういってもらえると、凄く嬉しいです!!!
あっ、でもこれってそれだけXSSの脆弱性って大事って事なんですか??
Permalink | トラックバック(2) | 06:26 
寝る時になって急に悲しくなって泣いてしまう事がある。半年??三ヶ月に一回の割合で。
今日がたまたまその日だった。いつもならすぐに涙は止まるんだけど、今日に限って長引いてこんな時間になってしまった。
寂しがり屋は損だと思う。ストレス溜まってるのかなあ……。
悲しくなった原因
私の家は自営業の共働きで、学校から帰る時間は、いつも誰も家にいなかった。家の鍵を渡されていたから、なくさない限りは家には入れたし、一つ下の妹もいたから別に寂しいなんて思わなかったから別にいいんだけど。
家の鍵を渡される前、小学一年生の最初の頃だと思う。その頃は、私の学校が終わる時間に合わせて母親も仕事を終わらせて家に帰ってきてくれていた。大抵は私の帰宅時間に間に合うんだけど、偶に間に合わない事があって、家の玄関の前で待つ事もあった。今思えば、三十分程度だったと思うんだけど、その当時はすごく長く感じて、今母親がどこにいるのか不安で不安で仕方がなかった。だから母親が通って帰ってくる大通りまで歩いていってみて、そこで母親の車が見えるまでずっと待っていた。
その当時は泣きはしなかったけど、その時の寂しい気持ちが何故か今急にこみ上げてきて泣いている。
涙腺弱くなったのかな。
最初の方に寂しくなかったなんて書いたけど、やっぱり寂しかったんだと思う。妹がいても、何回かに一回は誰もいない家に帰っていた。今は一人暮らしだから、いつも誰もいない家に帰っている事になる。
「ただいま」って言いたい。
誰もいない家は寂しい。
Permalink | トラックバック(0) | 06:26 
はいこんにちは! Hamachiya2だよ。
alertでなくなったね。こんな短時間ですごい。
エガミくん飲み込みはやい感じだね…。
ええと、あとは、下の方の画像で、どうもマーキータグ(marquee)が埋め込まれてるみたいってことだよね。
うん。もう一回、htmlソースを表示ってして確認してみたよ。
こんなのが埋め込まれてた。
<img src='http://farm4.static.flickr.com/3120/2784053843_b7a7d07c9a_s.jpg' border=0 title=<marquee>test XSS</marquee> alt=<marquee>test XSS</marquee> />
これは問題点が二つあってね、
1つは、タグをエスケープしわすれている箇所がある点
もう1つが、htmlの属性値(alt=ナントカとか)をクオートでくくってない点
この二つを直していこうか!
phpのプログラムの中のどこかで、<img>タグを出そうとしている部分があるはずだよ。
まずはそれを探そう。
そしたらきっと、その部分は、imgにphpの変数を色々埋め込んで出そうとしているはず。
たとえばこんな風に。
echo "<img src='xxxxxx" . $hensuu1 "' title=" . $hensuu2 . " />";
これの$hennsuuも全てhtmlspecialchars()してあげる感じかな。
echo "<img src='xxxxxx" . htmlspecialchars($hensuu1, ENT_QUOTES) "' title=" . htmlspecialchars($hensuu2, ENT_QUOTES) . " />";
こうだね。
そうすればmarqueeタグが埋め込まれていても、
<img src="xxxxxxxx" title=<marquee>test xss</marquee> />
こんな風にmarqueeとかがタグじゃなくなるので防げる。
でも完全じゃないんだこれ。
さっきも言った、属性値のクオートが足りてないから、ちょっと工夫すればxssやられちゃう。
詳細は長くなるので今は省くけど。
だから上の対処に加えて、titleとかaltとかの中身が、htmlでみた時に、ダブルクオートかシングルクオートで
くくられているようにしてやれば、いい感じになるよ!
<img src="xxxxx" title=ぺろぺろ alt=ぺろぺろ />
こうじゃなくて
<img src="xxxxx" title="ぺろぺろ" alt="ぺろぺろ" />
こうなるようにしよう。
(追記)
ちなみに、何で悪い大人の人はXSSの脆弱性を突いてきて悪い事をするんですかー??
それだけエガミくんの生み出すものが注目されているってことだよ。
目立つとどうしても悪い人も寄ってきちゃうから困るよね。
Permalink | トラックバック(1) | 05:49 
http://anond.hatelabo.jp/20081020051835
ブラウザから「htmlのソースを表示」ってしてみてくれるかな。
とアドバイスを貰って
http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27xss%27)%3B%3C%2Fscript%3E
のソースを見てみたよ!
<title> htmlspecialchars(<script>javascript:alert('xss');</script>, ENT_QUOTES)の画像一覧 - flickr2.in </title>
あ・・・!さっきのhtmlspecialcharsがうまくいってなかったんだ・・・!
なるほど、じゃぁ今後は絶対
エラーが出ている → エラーの出ているページのソースで何処が問題が確認
と言う事を心がけます!
勉強になるなぁ・・・。
<title> <?php $query = $_GET["data"]; echo nl2br(htmlspecialchars($query, ENT_QUOTES)); echo "の画像一覧"; ?> - flickr2.in </title>
↑のように何箇所が出力箇所があって、全部しらみつぶしに直してみたよ!
一箇所だけ直してて、他は・・・となってたんだけど先生に教えてもらった方法を使ったら
凄く簡単に問題点が分かって凄く早く問題解決できた!
http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27xss%27)%3B%3C%2Fscript%3E
わーいわーい!!!!
<img src='http://farm4.static.flickr.com/3135/2896115083_333bcb8862_s.jpg' border=0 title=test pilot of a show alt=test pilot of a show />
の箇所が治ってない!!!
え・・・!?コレはどういう事!?
なるほどーーー!!!徹夜ですかー!
さすが先生!!!参考になりやす!
ちなみに、何で悪い大人の人はXSSの脆弱性を突いてきて悪い事をするんですかー??
凄く、僕は寂しいです。
Permalink | トラックバック(2) | 05:30 
この書き込み見て少ししてから図書館で借りて返却日当日の朝に読み終えた。面白かったわ。
桜庭一樹は少女には向かない職業読んであんまり好きになれないで砂糖菓子の弾丸は撃ちぬけないは最初の数ページで読む気無くしたんだけど。
この本はケレン味たっぷりでギミックも駆使してて楽しめた。他のも読んでみる。
Permalink | トラックバック(0) | 05:24 
うーん。
http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27xss%27)%3B%3C%2Fscript%3E
ってすると、JavaScript(alert)が実行されちゃうんだよね。
だったらまず、その実行されちゃったページをブラウザで表示した状態で、
ブラウザから「htmlのソースを表示」ってしてみてくれるかな。
エディタか何かでhtml表示された?
そしたらその状態で「script」って文字を検索…
どうかな。
どこかで、
<script>alert('xss')</script>
ってなってない? まさにソイツがJavaScriptのalertを表示してるんだよね。
てことはそれが
<script>alert('xss')</script>
みたいにhtmlのタグじゃなくなっちゃえば解決するよ。
それをするのが、さっきのhtmlspecialchars()だよね。
どこでその<script>タグが表示されてるだろう。
htmlのtitleとかmetaのあたりかな?
じゃあ、phpのプログラムの中にも、そこに変数を埋め込んで出しているところが必ずあるはずだから、
それを探し出して、htmlspecialchars()しちゃうといいんじゃないかな。
追記
ぼくはすっかり昼夜反転してる感じだよ。
社会人としてこれはまずいよね!
徹昼すれば1日間くらいは治るんだけど…
睡眠のことは、睡眠のプロであるコトリコ先生に聞いてみよう!
Permalink | トラックバック(1) | 05:18 
寂しい。ずっとだ。
ずっと元彼女の幻影を追いかけて・幻影から追いかけられている気がする。
新しい人に会っても、恐怖で仲良くなることができない。
また同じことをいわれたらどうしようって恐怖がぬぐえない。
元彼女だから、少し人の気持ちが分からないあいつだから、言ってしまったのかも知れない。
でも、怖い。
誰かに甘えたい。寄りかかりたい。
甘えられてもいい。抱きしめたい。
でも、いつか去っていく。それが怖い。
笑って離れられるならいい。
でも、俺がボコボコに言われることしかなかった。
いつでも俺が悪い。俺が全部悪い。
しにたい。俺を見てくれる人がほしいけど、どうもそれは無理みたいだ。
俺に余裕がなさすぎる。
Permalink | トラックバック(0) | 05:14 
http://anond.hatelabo.jp/20081020045037
早速お返事有難う御座います!id:hiroyukiegamiです!
なるほど!前回
$Hamachiya2 = htmlspecialchars($_GET["data"], ENT_QUOTES); //←ここを追加
$params = array('api_key' => 'フリッカーのAPIキー',
'method' => 'flickr.photos.search',
'text' => $Hamachiya2,
と$_GET のところ(入力)で何かしようとしてたけど
”レスポンスのコーナーのところ、htmlに変数埋め込んで echo してるとこ。”
が大事なんですね!勉強になります!
先生からの説明で
その際に注意すべきは、htmlの属性内(alt=ナントカとか、src=ナントカとか)に変数を埋め込んでいる場合は、ちゃんとクオートの類もエスケープする感じ?
とあって、うーんどういう意味だろうとグーグル先生に聞いてみたよ!
クオート(正確にはクォーロみたいですね!) ・・・ クォートとは、文字が通常有する特別な意味を奪うことである。
つまり”とか’の事ですね!勉強になります。
今回echoで実際に書き出している部分は
$query = $_GET["data"];
echo "$query";
でした!
じゃぁ、ここをこうすればいいのかな??
$query = $_GET["data"];
echo nl2br(htmlspecialchars($query, ENT_QUOTES));
http://php.benscom.com/manual/ja/function.nl2br.php
nl2br ・・・ nl2br()関数は、改行文字(\n、\r、\n\rなど)を
タグに置き換えます。
$str = nl2br("STUDIO WINGでは\nPHP開発を行っています。");
※上記の結果、「STUDIO WINGでは
PHP開発を行っています。」を出力します。
うーん、、、ではid:zapa氏の荒らしURLをみてみよう・・・。
http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27xss%27)%3B%3C%2Fscript%3E
id:Hamachiya2先生!全然解決されないよ(涙)
今回nl2brタグで改行を回避したけど・・・これじゃダメみたいですね・・・!
<script>javascript%3Aalert('xss')%3B<%2Fscript>
・・・!!!
先生!僕は大きな間違いをしていたようです!
htmlspecialcharsとかnl2brタグも大事だけど、、、これじゃ解決できないみたい!!!!
これって、どうしたらいいんですか!?ヘルプミー!!!
なんとか直さないと・・・。
どうにか解決方法はありますかね??
Permalink | トラックバック(2) | 05:09 
http://anond.hatelabo.jp/20081020032717
残念ながら足が速いことも子供ができて嬉しいことも
いわゆる論理と言う奴が100%有効となるのは人間が人間として機能し始めてから
人間だけで作り出したものに対してのみ。
だから、結婚という制度自体におめでとうはおかしい、は何とかできる可能性があるが、
子供ができておめでとうと足が速くてよかったねは何とかできる可能性が非常に低い。
それこそ、理性と言う奴だけで説明がつけられんからね。
Permalink | トラックバック(0) | 05:05 
パッヘルベル「3つのヴァイオリンと通奏低音のためのカノンとジーグ ニ長調」
(独: Kanon und Gigue in D-Dur für drei Violinen und Basso Continuo)
1曲目の「Canon in D major」はたぶんクラシックの中で一番有名な曲
バッハの「G線上のアリア」(Air on the G String)
the pillowsの6枚目アルバム「LITTLE BUSTERS」から。
ASIAN KUNG-FU GENERATIONのシングル。鋼の錬金術師のOP
消してえーリライトしてえー
だんだん俗っぽくなってるのは気のせいですか?
Permalink | トラックバック(0) | 05:01 
はい! こんにちは! Hamachiya2ですよ!
いま、エガミくんの書き込みみながら、ざくっとソースみてみたよー。
XSSの対策ってね、ぼくもよくわかってないけど、
「出力時にエスケープする」っていうのが定石らしいよ。
でもエガミくんのやろうとしたのは「入力時のエスケープ」だね。
だから $_GET のところ(入力)で何かをするのではなくて…、
レスポンスのコーナーのところ。htmlに変数埋め込んで echo してるとこ。
そこの全ての変数をエスケープしちゃう方がいい感じかな。
その際に注意すべきは、htmlの属性内(alt=ナントカとか、src=ナントカとか)に変数を埋め込んでいる場合は、ちゃんとクオートの類もエスケープする感じ?
echo '<img src="' . $hensuu . '" alt="ぺろぺろ" />';
とかなら、$hensuu はダブルクオートもエスケープだよ。
あ、htmlspecialchars ってダブルクオートはデフォルトで「"」に変換されるんだっけ?
ちょっと試してみてね。
もし↓こんな風に、htmlの属性のクオートにシングルクオートを使ってる場合だと…
echo "<img src='" . $hensuu . '" alt='ぺろぺろ' />";
これは
echo "<img src='" . htmlspecialchars($hensuu, ENT_QUOTES) . '" alt='ぺろぺろ' />";
こうする感じかな?
あと、サンプルコードには含まれていなかったけど、
本番の方だと、htmlのheadの中でも変数つかってるよね。
たとえば、xxxで検索すると、titleタグやメタタグにもxxxが入ってくる。
そのあたりも、とりあえず「表示しようとしてる箇所」の「表示する一歩手前」で全てエスケープしてやればいいと思うよ。
もしかしたら言ってること間違ってるかもしれないけど、
その時はきっと誰かが突っ込んでくれるはずー。
追記
あと、寂しいことってなに?
Permalink | トラックバック(1) | 04:50 
殴る蹴るはいつもの事。あざになっても服で隠れるようなところをちゃんと狙ってくる。常に体のどこかしらが痛かった。太ももを蹴られた日は、歩いて帰るのが大変だった。背中に肘撃ちを食らった日の夜、布団の中で寝返りをうつと引きつるような痛みが走った。
持ち物を隠されたり捨てられたりする。移動教室から戻るとまず教科書やノートを探すのが習慣みたいになった。筆入れはゴミ箱の中から見つかった。シャーペンの芯が全部折れていたが、無くなったわけではないのでほっとした。
金を貸してくれと言われる。断れば殴られるので、貸す。返してくれることはないと悟ったのは数日後だった。
お前は臭いから近づくなと言われた。こっちに顔を向けるなとも言われた。このクラスから居なくなれとも言われた。ひたすら風呂で全身を洗い血が出るほど歯を磨いたが効果はなかった。
プリントを手渡すと、汚物を手渡されたようにあからさまに嫌な顔をする。
二人一組になれ、何人一組になれ。誰にも声をかけられず最後まで余った。人数の足りてないグループがいくつかあって、教師がどこか入れてやれと促す。じゃんけんで負けたほうのグループが嫌々ながら混ぜてくれた。
女子に握手してくれと言われる。遠巻きに女子の集団が見ている。罰ゲームだろう。おずおずと差し出した手にほんのわずか指先がふれただけで、彼女は逃げるように仲間のもとに帰った。
女子たちが俺を見て「うわ変な顔」「きもちわるい」と言っていた。という話をわざわざ俺に教えに来る。
女子たちが俺の似顔絵を面白おかしく紙に描いて授業中に回し読みしていた。という話をわざわざその似顔絵の現物を持って俺に教えに来る。
授業中に当てられると注目が集まる。何か可笑しなことを言おうものなら、次の休み時間がものまね大会になる。教師の質問に答えられず口ごもっていると「フレーフレー」とニヤニヤしながら囃される。
美術の授業で作った作品を散々けなされる。こいつこんなしょーもない絵描いてるよと笑われる。
偶然教室の前で耳にしたクラスメイトの会話。「ねえ、あいつで遊ぶのやめてあげなよ。かわいそうじゃん」「うるせー、やなこった」「もー、しょうがないんだから(笑)」楽しそうな話し声。教室には入れなかった。
トイレで用を足しているところを横から覗き込み、あとでチンコがどうだったと皆に吹聴する。
俺が着替えるときを見計らって更衣室のドアを開け放つ。着替えるのをためらっていると次の授業に遅れるだろ、皆が迷惑するだろとなじられる。
誰も守っていないような校則でも、俺が破れば奴らがちょっかいを出す口実になる。必然的に行動は優等生らしくなった。それがさらに揶揄の対象になる。
宿題をやってくれば見せろと言われ、忘れてしまった時にはお前最低だなと馬鹿にされる。あいつはまじめだから掃除だいすきなんだよ、と掃除当番を押しつけられ皆は部活に行く。
ある奴の持ち物が無くなった時、そいつは真っ先に俺を疑った。どうせお前が盗ったんだろさっさと返せと言われ、さんざん殴られた。もちろん盗ってなどいない。早く奴の気が済みますように、あるいは無くなった物がどっかから見つかりますようにと願うしかなかった。
ある日とうとう我慢できなくなって反撃しようとした。大声をあげて、相手に殴りかかった。けっこうな騒ぎになった。そいつは教師に呼ばれ注意を受けた。戻ってきた奴はこう言った。「先公には反省しますって言ったけど、これからもお前のことは標的にするから」
数ヶ月経つ頃には、毎日誰かに何か嫌な事をされるのは普通だと思うようになった。これが普通だと思っていたから、普通に学校に通った。
そんな中、丸一日誰からも何もされなかったという日があった。どんな偶然だったのかは分からないが、今日は誰にも殴られなかった。今日は誰にも嫌な事を言われなかった。帰り道でその事に気がついて、思わず泣いた。嬉しくて。
もちろん、次の日にはまた殴られていた。
今から十年以上前の思い出。
思い出してみたら意外といろいろ覚えていた。でも現実感は全然ない。自分が経験したことというよりも、ずっと前に観た映画の内容を思い出しているような感じ。
クラスメイトのほとんどは苗字も忘れかけているのに、中心になっていた奴らの名前はフルネームで覚えている。そいつらのことを今も恨んでいるかと言うとそんなこともない。苦しみながら死んでいてくれれば素敵かもしれないが、そうなったところで何の得にもならない。
こんな思い出は忘れ去って、どんなに思い出そうとしても思い出せないようになればいいなと思う。
とは言え、ここに書いたことが大した経験だとも思わない。この程度の事なら誰だって経験しているだろうし、俺は今も生きているから。
Permalink | トラックバック(0) | 04:50 
Real Money Tradeの略称。ネットゲームなどで、ゲーム内で得られた架空財産を現金で売り買いする行為。サイトを立ち上げて取引しているプレイヤーもいるが、この行為を公式に認めているゲームはほとんど無い。UOのように黙認状態のサービスにおいても、公式HPに自己責任でおこなう様にとの一文がある。
テレビなどでなんとなく耳にしてはいたんだが、RMTで検索していろいろ調べていると、その市場が膨らんでいる事に気づき驚いた…。
94、95年あたりにインターネットを初めて、まず友達に薦められたのがディアブロだった。
懐かしいが、その時、今のネット世界を予想できたか?と思えば、できてなかったなぁ。
すごいなと改めて思った。以下はメモ。調べれば調べるほど複雑な気持ちになれる。
しかし、俺なんかはゲームを辞める時の清算として、今までの努力のようなものを売れるとありがたいかも(ファミコンのカセットを中古で売るような感じで。)。
飽きたらそれまでっていうのもあるしなぁ
http://jp.youtube.com/watch?v=ketOtwjAdO4
http://d.hatena.ne.jp/keyword/%a5%bb%a5%ab%a5%f3%a5%c9%a5%e9%a5%a4%a5%d5
http://d.hatena.ne.jp/napsucks/20081025/1224963645
セカンドライフは一時騒がれていたが、今はどうなってるんだろ。
Massively(またはMassive)Multiplayer Online Role Playing Game(マッシブリー マルチプレイヤー オンライン ロール プレイング ゲーム)。
数百人〜数千人が同時に参加できるオンラインロールプレイングゲームの事。この他に数人で一つの世界を占有するタイプのオンラインロールプレイングゲームもあり、こちらはMORPGと呼ぶ。特に参加者を募る場所(ロビー)がMMOスタイルになっているMOを、ゾーンインターフェイスMOと呼ぶ。MMOとMOを規模の違いと勘違いされやすいがそうではなく、ゲームスタイルの違いである。
Massively Multiplayer Online Role-Playing Game (マッシブリー・マルチプレイヤー・オンライン・ロール・プレイング・ゲーム、MMORPG) は、「多人数同時参加型オンラインRPG」などと訳され、オンラインゲームの一種でコンピューターRPGをモチーフとしたものを指す。MORPGとの違いは同項目を参照。
「ゲームで資金洗浄可能」・・・になってない読売の記事 - ぽてのっき
中国で仮想アイテム売買(RMT)への課税を検討 - |x・)つ[あれげ日記]
RMTとはなにか - フォーカスして空想する、世界を変えるには
http://anond.hatelabo.jp/20080226133616
http://d.hatena.ne.jp/potez/20081106
Permalink | トラックバック(2) | 04:38 
↑を読んで強く思ったんだけど何をもって上から目線とするかってのが違いすぎてる。
こいつや元増田みたいに上から目線って言葉それ自体に対して拒否反応示すようなのはもう論外なんだけど。
例えばオリラジが好きだという人間に対して「簡単な頭してるんだね」って言いだす奴が現れた時は、
「ただの視聴者同士なのに何言ってんの」「なんで上から目線なんだよ」ってことになる。
逆に数学の問題がわからない時に誰かに聞いて「こんなのは簡単だ」と言い出す奴が出た時には、「上から目線で当然」って話になる。
上から目線って言葉には「フラットな立場のはずなのに何で上から言うの」って批判がこめられてる場合もあるし、こめられているべきなんだよ。
この二つの例は極端に単純化した例だけどな。フラットな立場で相手の間違いを指摘する際には↓みたいに「自分は正しくて相手はおかしい」という意味での「上から目線」になるし。
それを考えずに正しい形の「上から目線」に拒否反応を示す奴が出てきたり、
上の増田みたいに「上から目線」って言葉だけで甘えとか言って的外れな社会論を繰り広げるような奴が出てきたりで話をわけわかんなくしてるんだ。
と、長々と書いた後にhttp://anond.hatelabo.jp/20080810153529が書いたことと結局同じこと言ってるだけだよなと気付いた。
別に読んだ後に↑のエントリに気付いたんじゃなくて読んでおきながらこんな長々と書いてしまったんだけどね、間抜けなことに。
Permalink | トラックバック(1) | 04:32 
エガミくんの脆弱性のやつ
http://anond.hatelabo.jp/20081020032812
id:Hamachiya2さん!id:hiroyukiegamiです。
お返事有難う御座います!
おぉ、確かにおっしゃるとおりです。
丸投げしてしまい申し訳御座いません。
分からない点を投げさせてもらいますね。
http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27xss%27)%3B%3C%2Fscript%3E
なので$_get[data]の箇所のjsタグを無効化すればいいのでしょうかね?
$params = array('api_key' => 'フリッカーのAPIキー',
'method' => 'flickr.photos.search',
'text' => $_GET["data"],
'per_page' => '50',
'page' => '1',
'extras' => 'owner_name',
'format' => 'php_serial',);
$encoded_params = array();
となっておりますので。
$Hamachiya2 = htmlspecialchars($_GET["data"], ENT_QUOTES); //←ここを追加
$params = array('api_key' => 'フリッカーのAPIキー',
'method' => 'flickr.photos.search',
'text' => $Hamachiya2,
'per_page' => '50',
'page' => '1',
'extras' => 'owner_name',
'format' => 'php_serial',);
$encoded_params = array();
http://flickr2.in/fli.html?data=%3Cscript%3Ejavascript%3Aalert(%27xss%27)%3B%3C%2Fscript%3E
うーん、、、やっぱりアラートが出ちゃいますね…。
なぜでしょうか。。。
XSS対策で有名と言われるタグ、『htmlspecialchars』を使って
* '&' (アンパサンド) は '&' になります。
* ENT_NOQUOTES が設定されていない場合、 '"' (ダブルクォート) は '"'になります。
* ENT_QUOTES が設定されている場合のみ、 ''' (シングルクオート) は '''になります。
* '<' (小なり) は '<' になります。
* '>' (大なり) は '>' になります。
を変換したのに、、、なんでエラーが出るんだろー(涙)
htmlspecialcharsってどういう効果があるんですかね??
教えてid:Hamachiya2先生ー!
PHP: htmlspecialchars - Manual
http://jp.php.net/htmlspecialchars
string htmlspecialchars ( string $string [, int $quote_style [, string $charset [, bool $double_encode ]]] )
文字の中には HTML において特殊な意味を持つものがあり、 それらの本来の値を表示したければ HTML の表現形式に変換してやらなければなりません。 この関数は、これらの変換を行った結果の文字列を返します。 これは、日常的な Web プログラミングにおいて最も有用な変換を行います。 全ての HTML 文字エンティティを変換する必要がある場合には、代わりに htmlentities() を使用してください。
今度よかったら話し聞いてください。
Permalink | トラックバック(1) | 04:15 
その人の日記はもうだいぶ読んでいません。
こちらからあちらへの働きかけはもうしないようにしています。
いろいろ考えたのですが、メッセージをひとつ送ったあと
アク禁にしてきました。
マイミクはあえてそのまま。
1ヶ月くらいこうしておいて、そのあとどうなるか見てから
最終的にマイミクを切るかどうか考えたいと思います。
さくっと切れないところが甘いのかな……
Permalink | トラックバック(0) | 03:59 
元増田さあ、
もともと持ってたものを捨てる勇気はないけど今持ってるこれも欲しいって、
それは自分勝手にもほどがあるでしょ。
嫁の浮気を根に持っているようだけど、あなたのやってることはそれ以上に最低のことだよ。
嫁は(百歩譲って)自業自得かもしれないけど、子供には何の罪もないじゃん。
それを「俺は悪い男」みたいに自分に酔って。馬鹿か。
Permalink | トラックバック(0) | 03:46 
何か似てるなーって思った。周りの人と一緒にいても楽しめないし、一人でいるほうがいい。ただ、決して現状に満足できているわけではないから、何をすれば満足できるのか求めている。観念論で考えれば、友達(小集団)と一緒に何かに取り組むのは面白いと思っている。興味や関心の対象が一致しているならもっと充実した毎日を送ると思う。だけど、心から楽しめる趣味を持っているわけではないので、物足りない毎日を送っている。
もっといえば、周りの人間自体がつまらないのではなくて会話がつまらない。日々、目の前の出来事を消化するように会話をしていても楽しめない。注意深く観察すれば、人間的な魅力の一つや二つぐらいはすぐ見つかる。でも、根底としている考え方が一致しないから自分には合わないと思ってしまう。
一時期「孤独」についての本を読み漁ったことがある。孤独の良い面と悪い面。小説家、芸術家、哲学者なんかは人間関係から離れることで創造的(統一性への興味)になれるとか。
ex)ヴィトゲンシュタイン、ショーペンハウエル、ドストエフスキー
>>誰か1人、孤独感を共有する人がいれば生きていけると感じるのだが、その1人を愛せるのか、不安に駆られる。
誰か1人、孤独感を共有する人がいれば、何が期待できる? お互いに存在は認めつつ、沈黙のまま場を共有するってこと? もし、無根拠にそう思っているならずっと不安なままだと思う。
Permalink | トラックバック(0) | 03:42 
こんにちは!
id:Hamachiya2 ですよー。
ブックマークコメントでIDコールされたけど、
「コメント返すためにブクマ (してリンクジュースを流すこと) 」は、ちょっと今回は間接的にでもできない感じなので
こっちで返答しますね!
http://zapanet.info/blog/item/1418
http://b.hatena.ne.jp/entry/http://zapanet.info/blog/item/1418
2008年10月19日 hiroyukiegami id:zapa id:Hamachiya2 id:kusigahama id:rikuo 助けてください。色々やってみたのですがやはり、わかりません…。コード公開しております。すみません、誰か具体的に教えてもらえると嬉しいのですが(涙)http://flickr2.in/flickr.zip
いきなりソースコード丸投げして「わかりません」って言われてもちょっと困るよー。
まずはその「色々やってみた」っていうの、どういうことをやってみたか教えてもらえるかな!
で、どうすればいいのか、一緒に勉強していこうよ。
ここで。
Permalink | トラックバック(6) | 03:28 
