たん清オフに参加してきました
id:i_ogiの人格に魅せられた人々が集まる焼肉パーティーに参加してきました。
たん清の肉はうまいっ!今度会社の人連れてこようとまた来よう。
そして、自分の部の飲み会=たん清という公式を作りたい!
twitterで募集かけただけにも関わらず最終的には16人(くらい?)の大所帯でした。
フレームワークの話やクロージャの話などいろいろ参考になるお話が聞けたので良かったです。
しかしクロージャは他人に説明できるほど自分も完全に理解できていない・・・。
今度の社内勉強会のネタにして調べてみようと思った。
>id:i_ogi
幹事お疲れ様でした!
>参加されたみなさん
あまりお話できなかった人もいますが、お疲れ様でした!
WordPressでXSSの可能性?
社内のツールでWordPress2.5に対してセキュリティ診断かけたら、
1件Criticalが見つかるという始末。。
ちなみにWordPressはインストールしてすぐのデフォルトスキンの状態です。
コメントとトラックバックは無効にしました。
どこがXSSの原因になるのかと言うと、サイト内検索の結果画面でサイドバーに検索クエリーを表示をエスケープしてません。貼り付けた画像の赤い四角で囲ったところです。
修正箇所はwp-content/themes/default/sidebar.phpの33行目あたりになります。
get_search_query()をエスケープしてやればOKです。
<?php /* If this is a monthly archive */ } elseif (is_search()) { ?> - <p><?php printf(__('You have searched the <a href="%1$s/">%2$s</a> blog archives for <strong>‘%3$s’</strong>. If you are unable to find anything in these search results, you can try one of these links.', 'kubrick'), get_bloginfo('url'), get_bloginfo('name'), get_search_query() ); ?></p> + <p><?php printf(__('You have searched the <a href="%1$s/">%2$s</a> blog archives for <strong>‘%3$s’</strong>. If you are unable to find anything in these search results, you can try one of these links.', 'kubrick'), get_bloginfo('url'), get_bloginfo('name'), htmlspecialchars(get_search_query(), ENT_QUOTES) ); ?></p>
しかしコメント不可にしてるし、XSSは出ないだろーと思ったら
思いっきり見つかったので有名なソフトでも安心はできないですね。。