PHPカンファレンス2015に行ってきました(その1) #phpcon2015
本日はPHPカンファレンス2015 - #phpcon2015に行って参りました。
一晩寝るといろいろと忘れそうなので、
自分が聞きに行ったセッションについて簡単に記録を残そうと思います。
今年はオープニングに間に合ったし、早起きできてよかったです。
PHPの今とこれから 2015
PHPの歩みやリリースサイクルのご紹介
- リリースサイクル:1年
- ライフサイクル:3年(bugfix:2年、セキュリティ修正のみ:1年)
HHVM/Hackの進化
- LTSリリース
- PHP7より平均10~20%高速になった
PHPの未来
- 7.1の開発が開始される
- 高性能かつ現実的な解を継続的に提供する
今どきのSQLインジェクションの話題総まとめ
脆弱性の責任は発注者か開発者か
- 日本で唯一のSQLインジェクションの判例の話
- 開発者側に責任が発生するという判例がある。
- 受注者が最低限のセキュリティ対策を講じるのは専門家の責務として重過失と認定される場合がある。
- 少なくともセキュリティ対策を提案しておけば過失相殺になる
- 「安全なウェブサイトの作り方」記載の脆弱性や「徳丸本に記載されている脆弱性対策」は最低限対策した方がいい
PHP入門書の話題
- いつセキュリティを学ぶのか
- プレースホルダの仕組みを安易に自作すると徳丸先生に怒られる
- 最近出版されたPHP入門書にはSQLインジェクション脆弱性がないことが当たり前になった
SQLジェネレータの実装に起因するSQLインジェクション脆弱性を紹介
- 仕様の考慮漏れが原因
- パラメータをエスケープする/しないが不明確(Zend Framework)
- パラメータとして連想配列が来ることを想定していなかった
- 連想配列のキーが外部入力となることを想定していなかった
SQLジェネレータ利用者側の注意
- ライブラリの仕様を理解する「マニュアルをちゃんと読む」
- バリデーションは普通にやっときましょう
おまけ
当たった‼︎ #phpcon2015 pic.twitter.com/0HTBGaGezU
— Nissy (@nissy0409240) October 3, 2015
続きはこちらです。
PHPカンファレンス2015に行ってきました(その2) #phpcon2015 - NissyBlog