The current release cycle has been introduced in 2010 by release process RFC. This has been working mostly well, but there have been some minor issues. The length of cycle is often mentioned as being too short. It is also quite risky to introduce more complex fixes later in the active support cycle as the security support does not allow fixing potential regressions. In addition, it is not exactly
PHPの開発チームは、現地時間8月29日に最新版となる「PHP 8.1.11」「同7.4.32」をリリースした。複数の脆弱性を解消している。 今回のアップデートでは、特定のgzipファイルにおける解凍処理においてサービス拒否が生じる脆弱性「CVE-2022-31628」や、ブラウザ上において問題あるCookieの設定が可能となる「CVE-2022-31629」に対処した。 開発チームでは、セキュリティアップデートと位置づけており、各系統の利用者へ最新版へアップデートするよう呼びかけている。 「同8.0」系統のアップデートについてはアナウンスが行われていないが、まもなく「同8.0.24」になると見られる。 (Security NEXT - 2022/09/30 ) ツイート
laravelのヤバい脆弱性をついたkinsing(kdevtmpfsi)というマルウェアに感染した話 CVE-2021-3129PHPSecurityLaravelkinsingkdevtmpfsi webサーバー上でlaravelを動かしていれば、ちょっとした設定のミスで誰でもマルウェアに感染する可能性がある激ヤバセキュリティホール(CVE-2021-3129)が2021年1月20日に報告されています! composerでインストールしたパッケージをバージョンアップせずに使っていませんか? インターネット上に公開されているサーバー、特にステージングや開発環境でDEBUG=ONにしていませんか? エラー画面がこんな風に見えますか? この3つの条件を満たしていると、あなたのlaravelは、今すぐにでもマルウェアに感染する可能性があります。 laravelの脆弱性をついたkinsing(k
Getting Started Introduction A simple tutorial Language Reference Basic syntax Types Variables Constants Expressions Operators Control Structures Functions Classes and Objects Namespaces Enumerations Errors Exceptions Fibers Generators Attributes References Explained Predefined Variables Predefined Exceptions Predefined Interfaces and Classes Predefined Attributes Context options and parameters Su
「.htacess に php_value を書くとエラーになる」という事象があったのでちょっと調べた。 エラーはこんな感じ。 /var/www/html/.htaccess: Invalid command 'php_value', perhaps misspelled or defined by a module not included in the server configuration Apache モジュール版の PHP を使っている場合は問題ないんだけど PHP-FPM で動かしているときは .htaccess で php_value が使えないっぽい。とりあえず AWS Amazon Linux 2 では amazon-linux-extras で PHP 7.3 をインストールするとデフォルトで PHP-FPM になる。 で、Qiita に代替え手段を書いている人がいた
mPDFライブラリを使ったPDFファイルの出力について、mPDFのインストールから簡単な日本語テキストの入ったPDFファイルを出力するところまでを解説します。2018年9月時点で最新バージョンのmPDF v7.1zzzを使います。 この記事のポイント mPDFライブラリをインストールする とりあえずPDFファイルを出力してみる 日本語テキストを使ったPDFファイルを出力する mPDFライブラリとは mPDFライブラリはFPDFライブラリをベースにして作成された、PHPからHTMLを使ってPDFファイルを作成するライブラリです。 UTF-8に対応し、日本語のテキストも扱うことができます。 GNU General Public Licenseのため、ライブラリの改修・再配布ができ、このライブラリを使って構築したシステムに対しても特に制限は設けられていません。 商用利用ももちろん大丈夫です。 2
サマリ PHP 7.2以降、PDOの内部実装が変更された。動的プレースホルダ(エミュレーションOFF)にてバインド時にPDO::PARAM_INTを指定した場合、PHP 7.1までは文字列型としてバインドされていたが、PHP 7.2以降では整数型としてバインドされる。 この変更により、従来PDOが内包していた「暗黙の型変換」は解消される一方、integerへの暗黙のキャストにより、整数の最大値を超えた場合に不具合が発生する可能性がある。 この記事を読むのに必要な前提知識 この記事は、以前の記事(下記)の続編のような形になっています。 PDOのサンプルで数値をバインドする際にintにキャストしている理由 この記事では、PDOを用いたサンプルスクリプトでbindValue時にinteger型へのキャストを明示している理由を説明しています。パラメータを文字列として渡した場合、PDO::PARAM
この記事はPHP Advent Calendar 2019の5日目の記事です。 はじめに 私は6年前に、PHP Advent Calendar 2013として「PHPだってシェル経由でないコマンド呼び出し機能が欲しい」という記事を書きました。その中で、OSコマンドインジェクション対策の根本的かつ安全な対策は「シェルを経由しないコマンド呼び出し」であることを指摘した上で、末尾に以下のように書きました。 PHPコミッタのみなさま、PHP5.6の新機能として、シェルを経由しないコマンド呼び出しの機能を追加できませんか? 現実には当時からPCNTL関数にてシェルを経由しないコマンド呼び出しはできたのですが、当関数の使用が難しいことと、CLI版あるいはCGI版(FastCGIは可)のPHPでないとサポートされていないなどの制限があり、popenやproc_openなど使いやすいコマンド呼び出し関数に
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 半年以内にgo-pear.pharを使った人は必ずチェックしましょう。 2019/01/19 PEAR公式Twitterアカウントからツイート。 このアカウント全然活動してない。 https://twitter.com/pear/status/1086634389465956352 A security breach has been found on the https://t.co/dwKlscDEFf webserver, with a tainted go-pear.phar discovered. The PEAR websi
エグゼクティブサマリ PHPMailerにリモートスクリプト実行の脆弱性CVE-2016-10033が公表された。攻撃が成功した場合、ウェブシェルが設置され、ウェブサーバーが乗っ取られる等非常に危険であるが、攻撃成功には下記の条件が必要であることがわかった PHPMailer 5.2.17以前を使っている Senderプロパティ(エンベロープFrom)を外部から設定できる 現在出回っているPoCはMTAとしてsendmailを想定しており、postfixを使っている環境では問題ない 対策版として公開されている PHPMailer 5.2.19も不完全であるので、回避策の導入を推奨する。 はじめに 12月24日にPHPMalerの脆弱性CVE-2016-10033が公表され、とんだクリスマスプレゼントだと話題になっています。 PHPからのメール送信に広く使われているライブラリの「PHPMai
PHP 5からPHP 7への移行で、Tumblrはレイテンシが半分、CPU負荷も半減。テストツールでPHP 7への移行に問題ないかをチェック PHPの10年ぶりのメジャーバージョンアップとして昨年12月に登場した「PHP 7」は、PHP 5と比べて2倍以上の実行速度を実現するとリリース前からPHPの生みの親であるRasmus Lerdorf氏自身が説明してきました。 PHP 5からPHP 7へと内部システムのアップデートを行ったTumblrはその成果をブログで発表し、たしかにPHP 7のへ移行したことで実行速度が2倍になったことを裏付けています。 静的解析と自動テストでPHP 7への移行に問題がないかを確認 Tumblrが公開したブログ「Tumblr Engineering — PHP 7 at Tumblr」によると、Tumblrがその内部で稼働しているシステムをPHP 5からPHP 7
やっと暇ができたのでやってみました。 ところで、これをやりながらMicrosoftの発表見ていたんですが、マジですごい。Surface bookとかLumiaとか実際にモノを見てみないとなんともいえないけど、プレゼンだけでいえば完全にApple越えたプレゼンだった…。なんていうか、久々に発表で盛り上がった! さておき PHPのサーバー構築をシュッとやるのが個人的には結構面倒*1。理由はいくつかあるけれど 「他言語の感覚で」ウェブアプリを複数個、同一のサーバー(というより、バーチャルドメイン)で動かす時、キメラみたいなhtdocsを作るハメになるか魔法みたいなconfを書くハメになる。 nginx+N個のApache+PHPをたてれば解決する場合もあるが 、apacheは複数飼うのは面倒。 phpのバージョンを上げたり下げたり共存させたりが面倒(わかりきった事だが)、Apacheだとさらに面
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く