見出し画像

の表示仕様がダメダメすぎて、生で絶対使いたくねーわ

シャドーコスモス


<>

toファイルをアップロードさせたい時に使うこいつ
<input type="file">
まずファイルを選択ボタンの横に選択ファイルを表示すんのやめてほしい
右の余白に余裕があればファイル名が切れずに表示されるが
長いファイル名だと、後ろが・・・・とかになる
ほんまに目的のファイルが選択されてるか不安になる
だったら改行させてしまえばいんじゃね
横の幅も稼げるし
ほんでもってこの灰色のボタンがまたダサい
しかもiPhoneとかで表示するとボタンが横のコンテンツに侵食したりするし
生で使うとあかんわ
エクセルをアップロードさせたいので、緑にしてまう
いいじゃん

    input[type='file'] {
	    font-size: 14px;
        width: 100%;                  
    }
    input[type='file']::file-selector-button {
        border: 2px solid green;
        color: green;
        padding: 5px 10px;
        border-radius: 8px;
        font-size: 14px;
        width: 100%;                    
        display: block;              
    }

エクセルファイルの格納先フォルダに.htaccessを設置
#Order Allow,Deny
#Allow from all
Order Deny,Allow
Deny from all
Allow from localhost 127.0.0.1
Allow from 192.168
外からダイレクトにアクセスできないようにしてしまう
そのサーバーのPHPを介してしかアクセスできないのだ
直リンをぶんなげても、結局みれないので
なのでストリームでぶんなげて、ダウンロードさせる
あとファイルパスばBaseNameを取って、こちら指定の場所をくっつけてしまうがいいです。外部から場所を指定できないようにする為です
そういったパスのインジェクション対策
../とか../../とかつっこんできて探るやついまして
こういったのは全部、アウトにしちまう

	$fileSize = filesize($pPath);
    header("Content-Disposition: attachment; filename={$pPath}");
    header("Content-Length:{$fileSize}");
    header("Content-Type: application/octet-stream");
    readfile($pPath);

このPHPの先頭でログインしているユーザーか
セッション変数、クッキーでチェックしておく
さすせれば鉄壁のセキュリティーでして
ファイル名とファイルの場所を推測できても
ログインしてPHPからしかダウンロードできんのです
ログインせんと直アクする奴は動的にIPブロックすると完璧です

だいたい社内のシステムを外から見えるようにすると
ログインがあるから大丈夫とかいってますけど
ファイル名を推測して
直アクセスしたら、見れてまう的なやつ
いくらでも存在してて恐ろしいです

ログインのPHPもSQLインジェクションを軽ーく試したら
ログインできてしまいそうなやつ、むかしよーけおって
今は対策が進んで、あまりSQLインジェクションって話し聴かなくなりましたね
1=1 or をつっこんでその後の応答で探りを入れるとか
だいたいDBのフィールド名がpasswaordなので
passwaord=''とかぶっこんで
もしパスワード無しユーザーが登録されていれば
詳しくは言いませんけど、もうアカンのですよこのサイトは!
結局、SQLインジェクション対策で有効なのが
passwaordとかのフールド名を使わない
例えば「マジカル秘密の呪文」とかにする
これは推測しがたいので、特A級のハッカーでも手こずるかと
あとついでにUserIDていうフィールド名も狙われると終わり
これも「わいのユーザー名はかっこいい」とかにしておくと
Wでこれはもう推測不可能やと思うので
結構有効です

結局、ログインが要でして
なんらかの方法で突破されると
システム内の脆弱な部分をありりとあらゆる方法でチェックされ
ソースコードを抜かれ、データを取得する方法を見つけ出し
すべてもってかれるってことになる
不正アクセスが行われているかアクセスログをチェックして
即座にアラート通知するサービスあるようやけど
攻勢防壁みたいな、全世界のプロバイダが協力して
相手にDos攻撃を仕掛けるとかのサービスあったらおもろいかも
ただし踏み台にされてるケース、野良Wifiが多いと思うので
相手にダイレクトアタックできんかと

中国は戦争が始まったら
まずサイバー攻撃で日本のネットワークインフラをダウンさせる方法を所持してて、ミサイル打つのと同時に仕掛けてくるんやと
国家レベルでハッカー集団養っていて
いざという時は、用意してたありとあらゆるプログラムを発動させて
仕掛けてくるんやろね

いいなと思ったら応援しよう!