[SQLインジェクション対策]Webアプリケーションとかの入門本みたいのを書く人への心からのお願い。 - *「ふっかつのじゅもんがちがいます。」withぬこ
SQLインジェクションについて書くときに以下のメッセージを必ず含めて欲しいです。 単にプリペアドステートメントを使え 絶対に文字列結合でSQLを構築しようとしてはいけない IPAの「安全なSQLの呼び出し方」を読むこと なんでこんなことを書くかというと、同僚が献本されてた「プロになるためのWeb技術入門」なる本のSQLインジェクションの項で、SQLインジェクションの対策として以下のように書いてあったからです*1。 a) 値をバリデーションする b) プリペアドステートメントを使う ダメです。間違っています。単に間違っているだけでなく救いがたく間違っています。正しいSQLインジェクション対策はこう書くべきです。 単にプリペアドステートメントを使え 文字列結合でSQLを構築するな イケてない本を書く人はなんで値のバリデーションをプリペアドステートメントよりも先に書くんですか?値のバリデーション
![[SQLインジェクション対策]Webアプリケーションとかの入門本みたいのを書く人への心からのお願い。 - *「ふっかつのじゅもんがちがいます。」withぬこ](https://cdn-ak-scissors.b.st-hatena.com/image/square/abd76f3bb0ec0750428a791cbfbf7959c317f97d/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F17680117127052840568%2F17680117127052842215%2F1555633900)
Evernoteの超具体的使用例 〜ノート総数「4100」私のノートブックを公開します〜
先日アップしたエントリーでは、私が現在Evernoteと連携させているiPhoneアプリ、Webサービスをご紹介いたしました。 そこでふと気がついたのが、最近Evernoteのノートブック晒しをやっていないなと言うこと。 参考:参考になりすぎるEvernote活用例4 –@OZPAのノートブック晒し– | goryugo, addicted to Evernote 昨年の12月、@goryugo 氏のブログに寄稿させていただいたのが上の記事。 本格的にEvernoteを使い出した昨年5月からの7ヶ月間で、ノート数は2200程度でした。 で、それから4ヶ月。現段階での私のEvernoteノート数は4100ほど。 Evernoteにライフログを叩き込もう!と勢いごんでから、そのノート数は加速度的に増加しております。 この4100という数が多いのか少ないのかは皆様の判断に委ねるとして、現時点での
経路が複数あるときのルータ設定とその動作
前回は、2台のルータを直結して、パケットが転送される様子を追ってみた。一方のルータ(B)を、もう一方のルータ(A)のデフォルトゲートウェイにすれば、ルータAに直結していないネットワークへのパケットは、自動的にルータBに送られる。では、ここにルータCという3台目のルータが加わると、どうなるのだろうか。 ルータをもう1台増やしてみる ルーティングを考える際、まず意識すべきなのは「適当にパケットを投げてはならない」ことだ。パケットの行き先が複数ある以上、「とりあえず転送する」は選択肢から外すべきだ。もしそんなことをすれば、たまたま相手に届く場合があるとしても、無駄なパケットで溢れかえってしまう可能性がある。設定や管理の手間がかかりそうな予感はするが、ここはきちんと「パケットの転送先を設定しなければならない」と覚えておきたい。 ただ、見方を少し変えれば、ルータの台数が増えることで「管理が面倒になる
50万件の処理にクラウドの壁、リクエストの見直しで突破
開発するオンラインアプリケーションは二つある。損保ジャパンと代理店の間で、契約手続きや事務処理といった作業進捗を管理する「ToDoリスト」と、代理店向けの連絡事項を伝えるための「お知らせ」だ。電話やファクシミリを使った従来のやり方よりも、効率よく情報共有することを狙う。 一方のバッチアプリケーションは、オンラインで必要なデータを、保険事務や契約管理などの社内の基幹系システムから、日々取り込むためのもの。対象データは1日に50万件にもなる。 企画段階では、SJSが損保ジャパンに適用した実績を持つSaaSサービス「Salesforce CRM」の採用も検討した。しかし、画面のデザインを代理店ポータルに合わせる必要があるため、今回はForce.comでの開発が決まった。 制約に起因する課題に二度も直面 佐々木氏は開発で十数人のメンバーを率いる。開発に先立って、損保ジャパンや約4万6000の代理店
Titanium mobile 開発で最低限理解が必要な JavaScript のこと | astronaughts.net
え、JavaScript ちょっと知ってるけど私も Titanium できるの? できますとも。あなたにもできますとも。 えーっと、詳細な VPS ネタを披露するには明らかに知識が乏しい、僕です。 Titanium mobile の関連記事が増えてきて興味を持ったヒトも多くなってきた感じで非常にうれしいですね〜。もっともっとユーザーが増えてテクニックやソースが公開されて、苦労なしに知識が得られるようになれば、、、とか考えてる次第であります。はい。 さて、Titanium mobile は JavaScript で開発できると言っても、web サイトでよく行う DOM の操作なんかできないし、Window や Navigator 、それに Document なんてオブジェクトは存在しません。もし JavaScript を知らないヒトが Titanium mobile で開発しようとして、よく
KPIにようこそ | KPI大全 第2章 | Web解析のためのKPI大全
第1章で述べたように、KPIは、大きくてみにくいエクセルシートや、複雑なアプリケーションソフトはいやだと通常の会社が思っていることへの回答となる。KPIについての考え方をひとことでいうならば、技術的データを収集し、それをビジネスに適した言葉で表現するということだ。 KPIは、生データではなく、比率、パーセンテージ、平均で表現される。KPIは、円グラフや棒グラフではなく、タコメーター、温度計、赤信号(など何か意図を示すもの)KPIは、ただの表ではなく、その時々の状況や、変化を強調する。KPIは、ビジネス上の重要な行動につながる。適切なKPIはすべて行動につながるという最後の項目こそ、最も重要な点である。大切なので繰り返して言うが、『適切なKPIはすべて行動につながる』のだ。乱暴な言い方をすると、「指標が急に動いたり、想定外の動きをしたときに、メールや電話で知らせたり、助けを呼びにいったり、と
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
会長@腹部日記(2011-04-12)