はてなブックマーク

OSC 東京で佐川 夫美雄さんのセッションでAngularJSが気になったので、AngularJSリファレンスを買って、勉強を始めました。AngularJSリファレンス自体は、AJAXに限らず、AngularJSの全般を紹介している本です。 AngularでAJAX AngularでAJAXする方法ですが、$httpを使うとアクセスできます。以下のようなコードを書きます。今回は、シンプルに「情報を取得する」だけを行っています。 // app.js angular.module('app', []) .controller('SampleController', ['$scope', '$http', function ($scope, $http) { $http({ method: 'POST', url: 'http://example.com/wp-admin/admin-ajax.

WordCamp Tokyo 2014 で必ず押さえておきたい、今すぐできるセキュリティ対策に登壇しました。 「コードを書かない」という条件 セッションの対象者を初心者〜、としました。このため、「コードを書かないでできる」という制約のもとで、最低限何をすべきか、という観点で、話す内容を決めました。なのでサーバーやプログラムに詳しい人には物足りなかったかもしれません。 セッションのスライドは、補足等を加えた上で、近いうちに公開されます。 この記事では、セッション内容が物足りなかった、という方向けに補足を書きたいと思います。 不正ログインに対して サーバーの設定等を編集できるのであれば、ネットワークレベルで制限してしまうのが確実です。wp-login.phpや、xmlrpc.phpや、wp-admin/ディレクトリは、アクセス可能な範囲を特定のIPアドレス／プロバイダに制限する、とすれば良いで

WordPressで1ページ目と2ページ目以降で表示件数を変更する方法を調べてみました。WordPressでは、基本的に1ページの表示件数は固定されています。このため、1ページ毎の表示件数を変える処理が必要になります。なので力技で変更してみました。 pre_get_postsフック WordPressの処理をカスタマイズするときに重宝するのが、フックです。フックは、WordPressの処理に割り込みを入れることができます。このおかげで、WP本体のコードを改変しないでWPの挙動をカスタマイズすることができます。 今回は、1ページの表示数を変更したい、です。1ページの表示数は、メインループに関係しますね。なので、メインループ処理をカスタマイズします。メインループの処理を変更するにはpre_get_postsフックが役立ちます。このフックはクエリを実行する前に呼び出されます。(query_pos

MySQLデータベースを生成する場合、CREATE TABLE IF NOT EXISTSを使うと、作成済みのテーブルを作ろうとするエラーを防げます。しかし、その後のスクリプトの処理が面倒になるっぽいです。 元ネタはPHP逆引きレシピ 第2版 (PROGRAMMER’S RECiPE)のレシピ270です。コードのライセンスは修正BSDです。 $sql = "CREATE TABLE IF NOT EXISTS example ( id INT(11) NOT NULL auto_increment PRIMARY KEY, message TEXT ) DEFAULT CHARSET=utf8"; try { $db = new PDO($dsn,$dbUser,$dbPass); $db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

OctoberというCMSが開発中らしいです。Laravelフレームワークを利用しているらしいです。最近の流行はやはりフレームワークベースのCMSでしょうかね。 まだ開発中、ということでリンク先にあるデモ動画を見た感想です。コードがダウンロードできるようになったら、また詳しいレビューをしたいと思います。 HTMLを知っている人が管理するウェブサイトに適しているのではないかな、と思いました。多くのCMSは、「HTMLを知らなくてもできる」という点がメリットなのですが、その分、細かいカスタマイズをしようとすると、HTMLを直接編集するよりも手間がかかる、といったケースが起こりえます。Octoberなら、HTMLを知っている人にとっては編集／カスタマイズがしやすそうです。 Ajax機能の追加がしやすく工夫されているようです。通常ならHTML+JavaScript+PHPが必要となるのですが、デモ

この記事はhttp://fuelphp.com/blogs/2013/08/2-0-an-updateを元に作成しています。 フォルダ構成の見直し 古い ‘frontend’ (fuel/fuel) を、新しい ‘frontend’ (fuelphp/fuelphp) と ‘application’ (fuelphp/demo-application) composer ライブラリとに分離する。アプリケーションに影響を与えずに、Composer アップデートが可能になる。 view を Presenter とリネームする。ルーティングエンジンがコントローラ、タスク、マイグレーションを扱う。タスクとマイグレーションは特別なものではなくなり、コントローラと同じように作成できる。 アプリケーションフォルダに cache, logs, tmp が増える。これらを var フォルダに纏めるかも、とい

http://www.checkmarx.com/wp-content/uploads/2013/06/The-Security-State-of-WordPress-Top-50-Plugins.pdfで、WordPress 人気 50 プラグインの中に脆弱性があるプラグインがある、と報告されています。 いくつかのプラグインに、脆弱性が報告されています。SQLインジェクション、XSS(クロスサイトスクリプティング)、CSRF(クロスサイトリクエストフォージェリ)、PT(パス遡り)、RFI(外部ファイル混入)です。 SQLインジェクションについては、プリペアドステートメントを使うことでほぼ防げます。ORマッパーを自作する、とかでない限り、プリペアドステートメントを使う、で十分でしょう。WordPress カスタマイズでは、wp_insert_postを使う方法がありますし、動的プレースホル

Exec-PHPの使用について、なぜexec-PHPがモテるのか、WordPressを使ってる僕が気になったある記事のこと、等、様々な意見が出て、盛り上がりを見せています。 Exec-PHP をローカルでざっと試してみた。分かったのは、 投稿の本文に <php コード ?> を記述すると、eval で評価する(PHP として実行する) 管理者等一部のユーザーの投稿のみ、eval で評価する対象となる という処理を行うらしい、ということです。 投稿の中で PHP コードを書いて実行できると、確かに自由度があがります。しかし、任意の PHP コードが実行できてしまうと、セキュリティリスクが高まります。 (管理者パスワード漏洩／ブルートフォースアタック等で)不正ログインされた後、投稿本文にコードを書き込まれる SQLインジェクション／CSRF脆弱性があると、悪意あるPHPコードを投稿本文に埋め込

カスタムフィールドでショートコードを実行できるプラグインを作成しました。 Advanced Custom Field: Shortcode Fieldというプラグインです。タイトルの通りで、Advanced Custom Fields にフィールドを追加して使用するプラグインです。 Advanced Custom Fields を使用している場合、wysiwyg でショートコードを入力すれば、ショートコードが実行されます。ただ、wysiwyg だとショートコード以外も入力できてしまいます。ショートコードだけ入力したい場合に、このプラグインでショートコードフィールドを作ると便利です。 また、スクリーンショットを見ると分かるように、自分の WordPress で利用できるショートコードが表示されます。（引数等までは表示しませんが）ショートコードのスペル確認等にも役立つでしょう。

WordPress の月別アーカイブについて、フォーラムで質問される方も多いようです。カテゴリ毎の月別アーカイブ、カスタム投稿の月別アーカイブ、投稿者毎の月別アーカイブ。これらは全てデフォルトで対応しています。 カテゴリ毎の月別アーカイブはURL/?cat=1&m=201208のように、カテゴリーIDと年月を指定すればOKです。同様に、カスタム投稿の月別アーカイブはURL/?post_type=event&m=201209のように、投稿タイプ名と年月を指定すればOKです。投稿者毎の月別アーカイブは、URL/?author=1&m=201210のように、投稿者IDと年月を指定すればOKです。さらに、カスタム投稿の投稿者毎の月別アーカイブも、URL/?post_type=news&m=201210&author=2 のように指定すればOKです。 しかし、デフォルトで対応していることは、あまり知

WordPress にはプラグインがたくさんあります。しかし、WordPress がアップデートされたとき、新しいバージョンの WP にプラグインがすぐ追従するとは限りません。Contact Form 7 add confirm や、MW WP Form 等で、そういう状況になったことがあるらしいです。 では、プラグインが追従しなかった場合、どういう対応があり得るでしょうか。 プラグイン使用を止める 代替プラグインを使う プラグインを書き換える プラグインを自作する 古いバージョンの WordPress を使う WordPress 以外を使う 等が考えられます。 プラグイン使用を止める プラグインの担っていた機能は我慢することになります。安全な運用という観点では、確実な対処方法と言えるでしょう。もし、プラグインがバージョンアップしたら、再び有効化すれば良いでしょう。今後も使わないのであれば

FuelPHP Advent Calendar 2012 6日目です。昨日はFuelPHPで日本人にやさしいフォームを作る(@redsnow_さん)でした。今日はユニットテストのすすめです。公式マニュアルhttp://fuelphp.com/docs/general/unit_testing.htmlを参考にしています。 PHPUnitのインストール FuelPHPでは、PHPUnitというテスティングフレームワークを利用しています。まずPHPUnitをインストールしましょう。 PHPUnitは、PEARインストーラを使用してインストールします。まず、pear.phpunit.deからインストールできるようにします。auto_discover を有効にして、新規チャネルを自動的に探すようにします。 pear config-set auto_discover 1 続いてインストールします。

FuelPHP で JQuery 配信に CDN 利用するパッケージを作りました。ソースコードはhttps://github.com/ounziw/fuel-jquerycdnで公開しています。 JQuery 等のスクリプトを利用する場合、自前のホスティングから配信することもできます。google 等が提供する CDN(コンテンツデリバリネットワーク、Contents Delivery Network)を利用することもできます。毎回タグを作って貼るのは面倒ですし、ミスが起きるかもしれません。なので、CDN 経由で JQuery を配信するためのコードを書きました。 このパッケージを使うと、Jquerycdn::getcdn('google')で、 <script type="text/javascript" src="https://ajax.googleapis.com/ajax/lib

FuelPHP で WordPress のログイン機能を使うの続きです。 WordPress では、wp_login_form()関数が用意されていて、wp-login.php 以外の場所からログイン操作できるようになります。ログイン後、元のページに戻ることができます。しかし、ログイン失敗時には wp-login.php にリダイレクトされます。ログイン失敗時のリダイレクト先を変えることができないか？と調べてみました。 公式フォーラムの過去ログ Can you stop wp_login_form redirecting to wp-login on fail? に掲載されていました。元は How to Redirect WordPress Failed Logins かららしいです。 add_action( 'wp_login_failed', 'my_front_end_login_f

※注意※ このカスタマイズは、WordPress のクッキー設定を変更します。 FuelPHP で WordPress のログイン機能を使う方法です。 王道はFuelPHPで全部まかなう もちろん、王道はFuelPHPで全部まかなう、だと思います。 FuelPHP でログイン機能を作る FuelPHPフレームワークベースのCMS Novius OSを使う という方法があります。しかし、WordPress を一緒に使うことで楽に構築できるケースはあるかもしれません。 今回は、WP を http://localhost/wordpress/ 、Fuel を http://localhost/public/ という形をまず試してみます。WP の配下に Fuel、あるいは Fuel の配下に WP、という方法もありますが、まずは .htaccess の干渉しない横並びをやってみました。 (追記：

ウェブアプリケーションフレームワーク(WAF、動的なウェブサイトを作るフレームワーク)で開発されているCMS(PHP限定)を調べてみました。現在開発中のプロジェクトも含めています。 順序は(フレームワーク、CMSともに)アルファベット順です。他にもこんなCMSあるよ、という方は、コメント等でお知らせください。 ※フレームワークとCMSのくっつき具合には、プロジェクト毎に差があります。フレームワークべったりのものも、フレームワークの一部をライブラリ的に利用しているものもあります。 CakePHP basercms.net/ croogo.org/ www.netcommons.org/(開発中。3以降) CodeIgniter expressionengine.com/ www.getfuelcms.com/ ionizecms.com/ mojomotor.com/ www.pyrocms

twentyeleven の functions.phpに続き、今回は twentytwelve の functions.php のコメントを日本語化しました。 twentytwelve 1.0 日本語 — Gistで公開しています。 主な変更点 スタイルシートをwp_enqueue_styleで読み込む 多くの関数が子テーマで関数上書き対応に body class にクラスプロパティを追加 です。他にもありますが、大きく変わったのはこの3つのようです。 twentytwelve は twentyeleven よりも行数が減っていますが、twentytwelve は custom-header.php を別ファイルにしているので、トータルでは行数はそれほど変わらないようです。 テーマカスタマイズに必要な基礎知識はWordPress3.5対応 テーマカスタマイズのためのPHPをごらんください

wordpress で facebook のコメント欄を日本語化する方法です。 facebook for wordpress 日本語化ファイルを入手すれば、管理画面のメッセージの大半(翻訳対象となっている部分)が日本語化されます。しかし、facebook のコメント欄は日本語化されませんでした。 facebook のプラグイン自体は、多言語対応設計になっています。設定書式は、ja_JP のように、「言語_地域」となります。同じ言語でも、地域によって、通貨・単位・時刻の表記等の慣習が異なる場合に対応するためです。これにより、en_GBとen_USを区別したり、fr_FRとfr_CAを区別したりできます。 ですが、問題は、WordPress 日本語版の言語設定と異なることです。WordPress では en_US等は同じですが、日本語はjaです。日本語の場合は、使用される地域が、日本という国家

FuelPHP のコアは、ユニットテストが書かれていない部分があります。オープンソースなので、「無ければ作る」ということで少し書いてみました。 今回書いたのは、ページネーションクラスです。http://docs.fuelphp.com/classes/pagination.html にあるサンプルを参考に作成しました。今のところ prev_link と next_link だけです。 <?php /** * Part of the Fuel framework. * * @package Fuel * @version 1.0 * @author Fuel Development Team * @license MIT License * @copyright 2010 - 2012 Fuel Development Team * @link http://fuelphp.com */ n