komagataのブログ

リアル嗜好スパルタンＸ

しかし実際「スパルタンＸ」が映画を忠実に再現していたらどうなっていたのか？

ファミコン（元アーケード）の名作スパルタンXは原作とはかけ離れた内容だった。真のスパルタンXとは・・・。

Windows の GUI ツールキット選び (zphoto用) : いやな日記

zphoto の Windows版の GUI を作ろうと考え、GUI ツールキットを検討した。今のところ wxGlade で wxWidgets 用の C コードを出力する方針でいる。次のような候補を検討した。

GUIアプリをほとんど作ったことがない（VBとSwingをちょっと）ので気になって調べてみました。

wxWidgetsはクロスプラットフォームのGUIフレームワーク。 Windows標準のGUI部品を使ったアプリがC/C++で書けるみたいです。GTK+とかって部品がちょっとダｓ（略）のでこの点はおしゃれですな。それと日本語も化けないとか。

wxGladeはwxWidgetsのコードを吐けるGUIビルダー。

参考： wxWidgets入門記

開発環境は普通何でやるんだろう？できればVisual Studioではなくフリーのものがいいなあ。 一番の問題はC++未経験なことですが・・・。

Ultima Onlineのキャラクターが発言するBBS。発言回数によって選べるキャラクターが増えていくゾ！

UO BBS Version 2.01

はてなダイアリー – TOTOROの自堕落　日記

・では、今後この様な状況に陥らないと？ 　・陥るも何も、今までこの様な事は無かったし、ログにも記録されていない。 ・ですから、先ほど私の行った実験でも、ログを残さずに他人の口座を見ることが出来ました。 それでも、過去に発生していないと？ 　・そらまぁ、原理的には可能なんだろうけど、ねぇ・・・・ ・では、今後この対策は行われないと？ 　・ま、そうなるかね？

某ネットバンクの担当者とのやり取り。怖いです。 Webアプリ自体歴史が浅いので大きな会社だと逆にこういう感じになっちゃうんでしょうか。

Webアプリケーションでのセキュリティに関してはIPA（情報処理推進機構）のページに実コードを踏まえて非っ常に分かりやすく載っています。

IPA ISEC セキュアWebプログラミング

HIDDENの書き換えやフォームの選択項目偽造など、HTMLを知ってる人なら簡単にできる方法でHackされる可能性があります。本当に気を付けないと・・・。

@nifty：デイリーポータルZ：ふつうの人にインタビュー

取材でよく人の話を聞く。でも取材相手はすでになにか面白いことをしている人なわけで、あたりまえだけど、何でもない人に話を聞く機会はない。 それはすごくもったいないことなんじゃないのか。 大部分の人は何も起こらずに淡々と暮らしている。リアルはそっちにあるんじゃないか。 はじめてあう人、たまたまそこにいた人にお願いしてインタビューをしてきました。（林 雄司 ）

企画自体に笑った。 でも実際にインタビューしなくても別に良かったのでは、と思った。

昨日、混雑する山手線の車内で超焼きそばっぽい匂いが漂ってきました。 どうせ別の物の匂いなんだろうと思いつつも、車内に焼きそばのある光景を思い浮かべてほくそ笑んでいました。

（でもまてよ？焼きそばっぽい匂いがする他の物なんてあったか？）

と思って振り返ると、本当にカップ焼きそば食ってる食いしん坊がいました。

2ちゃんねるベストヒット: なんかおかしくね？

1 名前：１３２人目の素数さん 投稿日：03/05/17 08:38 6+9=15とかは普通じゃん？ 5+10=15とか4+11=15とかそのまんまじゃん？ 7+8=15って少なくね？おかしくね？ 7って結構でかくね？8なんて更にでかいじゃん。 7でさえでかいのに8って更にでかいじゃん？ 確かに15って凄いけどこの二人が力を合わせたら16ぐらい行きそうな気がしね？ 二人とも強豪なんだからもっといってもよさそうじゃね？なんかおかしくね？

笑った。

▼俺コンボ.net

★★★[AC]スト3 3rd ウメハラ先生ブロッキング動画、フルセット編。ノーガード戦法まで飛び出す始末。(チャットでの情報ありがとうございました！) http://www.geocities.jp/orecombo/

外人の熱狂振りに大爆笑してしまいました。

来週PHPプロ･スタッフの面接があるのでかなりの確率で質問されるというWebアプリケーションのセキュリティに関して調べてみました。

■抑えておく用語

・XSS（クロスサイトスクリプティング） →フォームから入力した値がHTMLの一部として実行される場所で悪意あるスクリプトを動かしたり。具体的にはクッキーをパクッて他人のセッションを奪ったり。

・SQLインジェクション →SQL文を流し込むこと。例えばフォームの値をwhere句の条件に使う場合、入力フォームに”“1 or id = 2”“と入力したら・・・。

"update foo set cost = 100 where id = ".$_POST["id"];

・セッションハイジャック →他人のセッションを乗っ取ること。セッションIDの入ったクッキーがXSSによって盗まれたり、そのIDを使って成りすまされたり。

■対策

・GETパラメーター改竄 →GETの使用を最小限に留める。（Action=xxx的な処理の振り分けのフラグだけとか）

・HIDDEN値改竄（そしてAction値をフルパスに変更） →HIDDENを使わない。セッションにする。

・XSS →POSTにhtmlspecialchars。

・セッションハイジャック →セッションIDを単純な値にしたりCookieが盗まれなければ大丈夫。PHPのデフォルト設定ならそこそこ安心？（セッション有効時間24分、セッションIDはCookieに保存、Cookieはブラウザ閉じたら削除）

・SQLインジェクション →フォーム値の地道なValidationしかない？

少し前のPHPアプリのソースを読んでいて気付いた。

PEAR DBのfetchRowメソッドは1.5.0RC1を境にDB_common(DB_pgsqlとか)からDB_resultに移ってる。

1.4.0の場合

$row = $db->fetchRow($result);

1.5.0RC1以降の場合

$row = $result->fetchRow();

1.4.0まではなんでDBコネクションのオブジェクトのメソッドがfetchRowしてたんだろう・・・。古いスクリプトを今のPEAR DBで動かしたらfetchRow()が無いって。「えぇ、えぇ、無いですよ」