一緒に楽しいイベントにしたい人あつまれ\(^o^)/

  • 2008/09/25(木) 19:30:00

更新情報

エフルートの佐藤さんと、いつもはてな界隈でお世話になっているHolyGrailさんを追加しました!
私がチンタラしてる間に、佐藤さんがブログで紹介してくださいました+++++!!(←ありがとうのサイン)
ギークって何? - 九段ではたらく会長のここだけの話



告知です\(^o^)/ニョー

コーディングの途中ですが告知です。
10月16日に開催される日本 Java ユーザグループ主催のクロスコミュニティカンファレンスで、
講演をすることになりました。
そこで、同イベントでべにぢょ&山田あかねさんに話してほしいトピックや質問事項を募集します。
参考:華のあるイベントやりまーす - ひがやすをblog

今回、僭越ながら講演者として参加させていただく運びとなり、頑張りたいと思う反面、
どう考えても役者不足ゆえ、どんなお話をすれば皆様に楽しんでもらえるかと考えた末、
思い切ってブログ上でご相談させていただくことにしました。


8月のアル晴レタ日ノ事。geekDataBaseでご協力いただいてるひがさんよりメールを受信。
ギークパラダイスのようなイベントで講演って!!!
小学校卒業式の掛け合いでさえ泣きそうだったこの私が・・・っ!?
たのしかった しゅっ・しゅっ・しゅうぅぅ・・・・
もったいないお声掛けにビビってちょっとチビりました。ここだけの話( ゚ノД゚)

「お恥ずかしながらJavaの知識は皆無ですし、講演はもちろん、こういったイベントに参加した経験も
ないので、かえってひがさんにご迷惑を掛けてしまいそうで申し訳なか><」とお伝えしたんですが、
「Javaにとらわれずに楽しいイベントを」という温かいお言葉に勇気づけられ、お受けすることにしました。

「ギークなお姉さん」をキーワードに、というお話だったので、
エスカフラーチェのpurprinこと山田あかねさんをお誘いして、一緒に頑張ることに(`・ω・´)


ご意見、ご提案、ご質問などございましたら、lovecall あっとまーく arcarna.comまでご連絡くださると
フルパワーで喜びます。
メールだりぃ!という方は、Twitterで@lovecallしてくれてもOKです。
 Twitter / lovecall

いただいた内容すべてにお答えするというお約束はできませんが、来てくださった方に楽しんで
いただけるよう、誠心誠意、努力するつもりです。
楽しいイベントにしたいね!っていうか、みんなで楽しくしようね!ね!ね!ねっ!
ふつつかものですが>< どうぞ宜しくお願い致します。



LINEで送る

$_GETを安易に受け入れちゃダメ!

  • 2008/09/15(月) 20:00:00

私信
ゆーすけべー社長、2周年おめでとうございます♪
ワディット2周年にあたって feat. ESPer2008講演 「いつのまにか社長になっていた」



セキュアなコードを目指して

<title>をクールにしてみた!で公開したコードの件。ちょっと混乱してるのでいったん整理する。

安易にextract($_GET); を使うとどうなるかというのは、言及してくださった方が
分かりやすい例を用いて解説してくれたので、そちらを直接見てくれた方が良いと思う。

なぜ入力値に extract を使用すると危険なのか の部分 - まちゅダイアリー
すでに誰かが突っ込んでいるが、extract($_GET); はまずい。 の部分 - Web屋のネタ帳


文字コード指定は mysql_set_charset を使うべし

× mysql_query("set names utf8");
○ mysql_set_charset("utf8");
mysql_set_charset - PHP Manual

この機能はSQLコンソールからは使ってよい機能ですが、アプリケーションからは
使ってはならない機能です。SQLインジェクションに脆弱になる場合があります。

SET NAMESは禁止 - yohgaki's blog
#いま気付いたがコメント欄で議論が!

関連でちょっと気になるエントリもあったが・・・
SET NAMESは禁止? - CakePHP のおいしい食べ方


prepared statementを使うべし

プリペアドステートメントってなんだ!
mysql-ja: Prepared Statement (訳) - MySQL Lists

”アドホックなクエリのストリング”というあたりで危うく引き返しそうになった。
私は、日常的に使用しないカタカナ語が3つ続くとバグる。要・成長。
泣きながら「ていうか腹減った!」と生姜焼き弁当を買いに走ったことはさておき、
ピコーンと来た部分を上記記事より一部引用。

Prepared statementはSQL のロジックとデータを分離することで
セキュリティを増加します。ロジックとデータを分離することで、
SQLインジェクション攻撃を回避することができます。

通常のクエリを扱っている場合、ユーザから受け取ったデータを
処理するには注意が必要です。
これはシングル・クオート、ダブル・クオート、バックスラッシュなどの
文字をエスケープする関数を使用することに関係します。
こういったことはprepared statementを使用する際には不必要です。


どうやら私が使いまくっていたMySQL関数は古いらしく、prepared statementの実装が無いという。
よく考えたらそうか。言語も人も世界も進化しているのだから、数年前の参考書に頼るのはイクナイ。

Web屋のネタ帳さんのサンプルコードを見た際、
「$himituという変数の存在に気づかれる可能性は低いから大丈夫だっぺ!」
と思ったら光速でイエローカード出されたwww
そうか・・・どこで尻尾を出しちゃうか分からないしなあ・・・・。


安全性確保のため mysql_real_escape_string を使うべし

以前、SQLインジェクションについて書いた際、下記TBをいただいた。

mysql_query関数は複合クエリに対応していない為、
SQL文中にセミコロンが入っている時点でエラーになります。

re:キケンなSQLインジェクション - to-R

すっかりセフセフな気分でいたが、それ以外にも方法があるからやっぱりダメらしい><
そこで mysql_real_escape_string

SQL 文中で用いる文字列の特殊文字をエスケープし、
mysql_query() で安全に利用できる形式に変換します。
データの安全性を確保するため、MySQL へクエリを送信する場合には
(わずかな例外を除いて)常にこの関数を用いなければなりません。

mysql_real_escape_string - PHP Manual



以上を踏まえて書き直す。うーっ。レディー・GO!!
べにぢょが頑張りますように!(phaさんのついったー発言の真似)



LINEで送る

そろそろgeekDBオフの思い出を語ろうか(・∀・)

  • 2008/09/14(日) 17:00:00

更新情報

nariさんを追加しました!毎度ご報告遅くなりまして申し訳ありません><
geek DataBase - ギークデータベース



「コンパイルされたい」と言ったらひどい目に遭った件

 
先月ひそかに開催したgeekDataBaseオフの写真を置いておきますね!
ギークの集まりに行ってきた - phaのニート日記
ジャニーさんに目を付けられたら大変だから、ギークたちの写真は公開しない><



   
落書きされた!お嫁に行けない!!うわああん!!!
ていうか内心、とても嬉しかった(ノ∀`●)



 
私が持参したうんち棒と格闘。その後、うんちが行方不明になり、後日郵送してもらうというオチがw
うんち棒とは:リンク先の一番下参照

はまちちゃんに「サブバージョンアーップ!って言いながらキックを繰り出すといいよ!」と教わった。
私のウェブカレに指導されたいので、ご対応宜しくお願いします!
#ウェブカレははまちちゃんプロデュースの恋愛シミュレーションSNS


extract($_GET); について

前回のエントリのコメント欄及びTBにてご指摘いただいている。
自分は参考書を元に何の疑いもなく書いていたが、どうやらextract($_GET); はまずいらしい。

PHP の extract 関数は危険という話 - まちゅダイアリー
HelloWorldプラスアルファからさらに上を目指すために (PHP編) - Web屋のネタ帳

今日は今から友とカラオケに行くので、明日の祝日を利用して格闘しよう(`・ω・´)
OH!明日は大安じゃないか!
私、へたれPGだけど・・・それでも大安なら、大安ならきっとなんとk(ry


最後にちょっとだけ。アルファギークの足!

 



LINEで送る

<title>をクールにしてみた!

  • 2008/09/03(水) 21:00:00

更新情報

GREEの田中さんを追加しました!いやっほう!GREEバンザイ!
ギークの歴史を更新して気付いたけど、誕生日が藤本さんと1日違いだw
geek DataBase - ギークデータベース


個別ページのタイトルをCOOLにする!

コードがスパゲッティカルボナーラ状態になってきたヾ(゚∀゚*)ノ
パスタだとかカッペリーニだとか、そんなチャチなもんじゃあ断じてねえ。
もっとこってりしたスパゲッティの片鱗を味わったぜ・・・!

今まで個別ページのタイトルは一律「geek profile - ギーク紹介 -」にしてたんだけど、
やっぱココは個人の名前を出したいよね!SEO的に考えて!
それに、そっちの方がよりCOOLだし!(COOLという表現を寵愛中)

なので、ヘッダをちょっといじってみた!

<title>geek profile - ギーク紹介 -</title>


このgeek profile - ギーク紹介 -の部分を echo $item["name"]; に置き換えればいいんだよね。
で、名前データを引っ張るためにデータベースに接続すればよし、と。


<?php
extract($_GET);

mysql_connect('localhost','ユーザ名','パスワード');
mysql_select_db('データベース名');
mysql_query("set names utf8");

$sql="select * from geekDB where name_id = "$name_id"";
$result = mysql_query($sql);

while ($item = mysql_fetch_array($result)) {

echo "<title>";
echo $item["name"];
echo "</title>";
}
?>

yossy (たなかよしかず、本名:田中良和)


めでたく名前が表示されるようになったけど、ホントにこれでいいんだろうか・・・
出すことしか考えずに書いたけど、もっとスマートな方法があるんじゃなかろうか・・・?


LINEで送る