2008 -07-23 ( Wed )

基本的なセキュリティの脆弱性に関する話です。
検索で来たPHP勉強中の方は、必ず最後まで目を通してくださいね＾＾

WordPressで、複数のブログを連携したサイトを作っています。
（いずれこちらでもご紹介することになると思います）

左メニューを共通化する必要があり、下の図のように別ファイルに書き出させたHTMLを、各ブログでPHPのfile_get_contents関数を使って呼び出そうとしました。

※MovableTypeはマルチブログ機能があるため、こういったカスタマイズは不要です

…が、お客様のブログへ持っていったら、メニューが表示されません。
とり急ぎ、PHPをやめてAjaxで対応しましたが、諦め切れません。
サーバー会社に問い合わせてみたところ、このようなお返事が返ってきました。

（内容を一部編集しています）

「readfile」「file_get_contents」関数につきましては、セキュリティ上の問題（外部の任意のスクリプトを実行される危険性）から「allow_url_fopen」を「OFF」と設定させていただいてております。

なお、「.htaccess」ファイルを設置いただくことにより
「allow_url_fopen」をOnに設定いただくことは可能でございます。

わーい、.htaccessでサーバーのPHP設定を書き換えればいいんだね☆

…と一瞬思ったのですが、担当の方は「セキュリティ上の問題」とがっちり前置きしています。何となく展開が予想できます。
「allow_url_fopen」が何故OFFになっているのか、きちんと調べてみました。

Read More

2008 -07-07 ( Mon )

データベースの勉強をするにあたって、PHP5.1から標準で使えるようになった「PDO」を中心に習得しても問題ないかが気になりました。
PDOは安全性が高く、処理が早い関数らしいのですが、未だにPHP4までしか対応してないサーバーばかりだったら、勉強しても無駄になってしまいます。

そこで、前職で調べていた情報をもとに、改めて現在の状況とPHP4との切り替え方法をまとめなおしました。
激しく既出のまとめだと思いますが、これからPHPを勉強する人、PHP4仕様アプリケーションを使っている人の参考になれば幸いです。

7/12：ファーストサーバのPHP対応を更新

Read More

2008 -07-06 ( Sun )

個人・小規模単位のWEBアプリは、ほとんどが過去ログなどの保管を「MySQL」というリレーショナル・データベースシステムで行っています。

ひと昔前に作られた掲示板などはテキストファイルがベースになっていますが、保管する情報がとても多いブログなどはそれでは追いつかないし、セキュリティ面でも危ないのです。
また、WordPress・MovableTypeの高度なプラグインを作るにも、データベースの知識は絶対に必要です。

そんな、MySQLをPHPで操作する勉強をはじめました。

Read More

2008 -07-03 ( Thu )

とある会社との打ち合わせ的なものに行きました。
まだあちらのスタッフとの名刺交換程度ですが、私の仕事を見て貰って請われるのは有り難いことです。

フリーランサーにとって、収入と同じくらい大事なのは「必要とされること」だと最近改めて思います。
案件を相談されたり仕事依頼されるというのは、想像以上にモチベーションがあがることなのです。

かと言って
「あの人は安く早くやってくれる」
という都合のいい形で必要とされていたら金銭的にも体力的にも持ちません。

そうならないためには、

*幅広い興味->スキル
*軽いフットワーク
*コミュニケーション能力[普段引き込もっていてもすぐ取り出せる]

の三つでしょうか。


ど、どれも辛いんですけど；；


あと、こうして仕事ブログもまめに書かないと気付いても貰えないですよね。
ここんとこペース落ちてるなあ…

充実してはいるけど、貧乏で気ぜわしい生活はまだまだ続きそうです。

2008 -07-03 ( Thu )

すみませんすみません。
ex_morelink関数が間違っていました。

もしダウンロードした方がいましたら、Excontentの説明ページで新しいバージョンを配布していますので、差し替えてください。

wordpressの関数は自動でHTML群を出力するタイプが多く、CMS的なデザインにしようとすると、どうも使い勝手の悪いものが多いです。
今後使いまわしのききそうなものを、いろいろと考えてみたいと思います。