Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記
Ruby on Rails(3.2.9, 3.1.8, 3.0.17以前)のfind_by_*メソッドにSQLインジェクション脆弱性が見つかりました(CVE-2012-5664)。このエントリではその概要と対策について説明します。 概要 Ruby on Railsのfind_by_*メソッドの引数としてハッシュを指定することで、任意のSELECT文を実行できる脆弱性があります。 検証 Ruby on Rails3.2.9の環境を用意して、以下の2つのモデルを用意しました。 $ rails g scaffold user name:string email:string $ rails g scaffold book author:string title:string モデルUserは個人情報を保持しており、自分自身の情報のみが閲覧できるという想定です。モデルBookは書誌データベースであ
[Rails] OmniAuth + Device で認証する① : ノンプログラマー ブログ
前回、OmniAuthを使った認証を実装したんだけど、Deviceも一緒に使えたらいいなということでやってみました。仕様はこんな感じ。 ▼メンバー登録 ・twitterかfacebookのアカウントを持っていないとメンバー登録できない ・さらに、メールとパスワードの入力を必要とする ・メール認証 ・ひとつのtwitterまたはfacebookアカウントに対して、1組のメールとパスワードのみ登録可能 ▼ログイン ・twitterかfacebook(OmniAuth)、またはアプリ独自のメールとパスワード(Device)でログインできる ▼ユーザ登録の流れ A.twitterまたはfacebookに接続してアカウント情報を取得 B.メールとパスワードを入力して仮登録(メールを送信) C.メールに書かれたURLをクリックしてユーザ登録完了 ▼実装の手順 ①OmniAuthの実装
Ruby on Railsでrakeコマンドを使って様々なタスクを実行しよう
DoRuby! (ドルビー!) は現場のエンジニアによる、主にRubyなどの技術に関する様々な実践ノウハウを集めた技術情報サイトです。 はじめまして!KBMJでエンジニアをやっているT氏です。初投稿の今回は、rakeコマンドについてご紹介したいと思います。*rakeとは・・・ビルドツール(AntやMake等)のruby版の事 まず初めに、rakeのバージョンを調べてみましょう。 rake --version ちなみに私は0.8.3でした。 次にrakeにどのようなオプションがあるか見てみましょう rake --task (rake -TでもOK) 恐らく大量のオプション一覧が出てくるかと思います。。。その中から、便利なコマンドをつまんでご紹介します。 rake db:... rake db:migrate →migrateを実行して最新のバージョンになります(一番使う事が多いか
Rails3 deviseによるtwitter認証 - スマートフォンアプリ開発会社のエンジニアブログ
【前回】Rails3 認証エンジン「devise」 - スマートフォンアプリ開発会社のエンジニアブログ こんにちはRails研究員の[twitter:@gc_locks]です。 今回は前回の続き、deviseにoauth認証を乗せます。 https://github.com/plataformatec/devise/wiki/OmniAuth:-Overview このページを参考にして、ガリガリ実装します。 Gemfile に以下を追加して、bundle install gem "oa-oauth", :require => "omniauth/oauth" 次に、config/initializers/devise.rb にtwitterのアプリケーションの管理コードを追加。 管理コードは https://dev.twitter.com/apps から取得しましょう。 Devise.se
これからRuby on Railsをはじめる人へ - VTuberになったプログラマーの魂の残滓
Ruby(on Rails)使い始めて半年、まだ自分自身探り探りという状態なのですが幸いにもお手本になる先生のお陰でなんとかやれているという感じです。 個人で勉強してる範囲でいろいろ見てきたものや読んだもの、参考にしている本などをざっとまとめておきます。 id:ukstudioによる勉強会の資料 まずざっくり概要を得るためにこれ読むとよさそう 特異メソッドあたりの解説は一旦スルーしていいかも Ruby&Rails勉強会 認証周りについてid:udzuraによる資料 自分で主催したRuby勉強会で(邪悪な顔で)発表してくれた資料 渋谷で勉強会してきました。(邪悪な顔で)発表もしました。 « blog.udzura.jp テスト周りについて @takaiさんのブログエントリ RSpecによるユニットテストの書き方 - tech.recompile.net またid:ukstudio先生の資料じ
Rails3.2.6に上げたらDEPRECATION_WARNINGが出たので対応した - #詰んでる日記
http://weblog.rubyonrails.org/2012/6/12/ann-rails-3-2-6-has-been-released/ 先日Rails3.2.6が出て、SQLインジェクションとかあるから(´∀`∩)↑age↑てくださいと言われたので、重い腰を上げてRails3.2.2から3.2.6にバージョンを上げた。 テスト流したらDEPRECATION_WARNINGがいっぱい出たのでその対応方法を一応書いとく :confirm option is deprecated and will be removed from Rails 4.0 = link_to "hoge", hoge_path, :method => :delete, :confirm => "フォーマットするのか?" 上のようにviewでaタグとかに:confirmと書いておくと、確認用のダイアログを出
oss-sec: Ruby on Rails SQL Injection (CVE-2012-2695)
Ruby on Rails SQL Injection (CVE-2012-2695) From: Aaron Patterson <tenderlove () ruby-lang org> Date: Tue, 12 Jun 2012 14:30:29 -0700 SQL Injection Vulnerability in Ruby on Rails There is a SQL injection vulnerability in Active Record, in ALL versions. This vulnerability has been assigned the CVE identifier CVE-2012-2695. Versions Affected: ALL versions Not affected: NONE Fixed Versions: 3.2.6, 3.
MacBookAirでRVM/Gemを使ったRuby 1.9.2、Rails 3.1.0等のインストール | DevelopersIO
RVM/Gemを使ってRubyの開発環境を整える 複数のRubyを使い分けるために、RVM(Rubyバージョン管理アプリ)をインストールします。 bash < <(curl -s https://rvm.beginrescueend.com/install/rvm) インストールしたRVMをパスに通します。 $ echo '[[ -s "$HOME/.rvm/scripts/rvm" ]] && . "$HOME/.rvm/scripts/rvm" # Load RVM function' >> ~/.bash_profile .bash_profileを再読み込みします。 $ cd $ source .bash_profile これでRVMの基本設定は完了です。試しに実行してみましょう。 $ rvm version rvm 1.8.3 by Wayne E. Seguin (waynee
なぜ私たちは NodeJS から Ruby on Rails に移行したのか - 杉風呂2.0 - A Lifelog -
以下の文章は Targeter App Blog の記事を翻訳したものです。原文は 2012年5月12日 に書かれました。 Why we moved from NodeJS to RoR http://blog.targeterapp.com/post/22984987832/why-we-moved-from-nodejs-to-ror 免責事項:この記事は NodeJS や Ruby on Rails について騒ぎ立てるものではありません。ただ私たちの決定とその理由について振り返るものです。両フレームワークはそれぞれが作られた目的において素晴らしいものであり、そのことは、私たちのスタックの一部がいまだ NodeJS で動いている理由でもあります。 私は NodeJS のすごいファンで、これは非常にエキサイティングな技術だと信じていて、これらの人気が出る様を目にするだろうと思う。私はとて
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Steve Yegge、RailsをJavaScriptに移植する
John Lam / 青木靖 訳 2007年6月24日 Foo Campで私が最初に行ったのは、「GoogleのRailsクローン」と題するSteve Yeggeの講演だった。このタイトルを見てどうして聞かずにいられようか? Googleはプログラミング言語として、C++、Java、Python、JavaScriptの4つを使っている。WebのフロントエンドをJavaで書きたがる人がそういるとは思えないが、それはWebフロントエンド用のJavaコードをたくさん持っているGoogleにしても 同じだ。 Googleにおける開発者の生産性を引き上げるため、Steveは会社にRails(したがってRuby)を言語として採用するように訴えたが、それが叶わないとなると(Googleはインフラでサポートしなければならない言語の数を増やすのをとても嫌っている)、 彼は欲求不満のプログラマがみんなするだろ
デザイナーが RailsとGitのことを少し知ってると色々捗る
The document contains a series of dates from 2011-6-22 repeated many times. Between some of the dates are short phrases such as "Don't Repeat Yourself" and "Convention over Configuration". The overall document does not appear to have a clear purpose and consists primarily of a date repeated with occasional unrelated text fragments.Read less
テストコードを作らない文化が浸透している現場へRuby/Railsが導入された結果への対策を考えてみる, tDiary 3.0.2 リリース - 会長@腹部日記(2011-04-29)
_ テストコードを作らない文化が浸透している現場へRuby/Railsが導入された結果への対策を考えてみる まず、導入された結果は以下のようになっております。信じられないものもありますが、事実です。 1. マージが頻繁に行われる開発中はNoMethodErrorや文法エラーが続出。必要なコードのマージ漏れまで発生 2. 修正の度に人力テストが必要となり、コスト増大 3. これまで以上に責任論が追求される現場となる 4. コスト増加を恐れるあまりリファクタリングはおろか、巨大な迂回処理やコピペが横行する 本プロジェクトには、以下のようなテストコードを作(らない|れない)様々な原因があります。 問題分類 現場への影響
jQuery: New Default
generates an application with jQuery. The -j option of the generator lets you choose Prototype and Scriptaculous instead: Such an application does not have RJS yet available though. From now on prototype-rails is needed for RJS, see below. Upgrading Applications Using No RJS Existing applications using no RJS should remove any references to ActionView::Base.debug_rjs in the project. Typically that
rails2.xの**_remoteをrails3.xに機械的に移植するには - ψ(プサイ)の興味関心空間
一つしかないものだから 分け合えないと ケンカしないで もう一つほら 作ったよ 手をつないだら 仲直り(ロロナのアトリエ/「不思議なレシピ」) 「UFO大好き霊子さん」をRails2.x系から3.x系に移植するに当たってぶち当たった問題のひとつです。かなり汎用性のある内容と思われるので、今回こちらにメモしておきます。 めんどくさい人は最後だけ見てね。 ■rails2系でのお手軽Ajax Rails2系では、こんなヘルパを書くことで簡単なAjax通信ができます。 <%= link_to_remote 'イイネ!', :url => {:controller => 'votes', :action => 'create', :moderate => 'yes', :post_id => @post.id}, :update => "post_voting_#{@post.id}" %>
MVCとRailsの基本構成を学ぼう
Web開発フレームワークとして人気の高いRuby on Railsの最新版、バージョン3を使ってWebアプリ開発の基本を学びます。 人気のフレームワークでWeb開発を学ぶ Ruby on Railsは、いまやWebアプリケーションの開発フレームワークの有力な選択肢の1つとなっています。Ruby以外の言語のWebアプリケーションフレームワークも少なからずRailsの影響を受けているので、現在Rubyを使っていないエンジニアにとっても、Railsを知ることは大いに参考になるはずです。もうすぐRails3認定試験が本格的に開始されるということもあり、この連載では、試験範囲の流れに沿って、Railsの基礎についてご紹介していきます(ただし、必ずしも試験対策というわけではありません)。 今回、連載第1回として本記事では、Railsを理解する上で基本となる考え方であるMVCについて説明した後、Rail
うつのRailsプログラマー募集 - komagataのブログ
「起業チャレンジ2011、最優秀賞チームは うつからの社会復帰支援「U2plus」 :ベンチャーニュース:Venture Now(ベンチャーナウ)」 最優秀賞チームの「U2plus」は、Webを介した認知行動療法で、うつからの社会復帰を支援するビジネスプランを発表。代表の東藤泰宏さん自身、うつ病歴2年半。勤務中、うつ病に罹患(らかん)して、Webディレクターという職を失ったという。そんな辛い経験から今回の事業にかける想いは強い。選考会では、同事業における社会的意義のほか、事業の実現性、成長性なども評価された。 うつ病治療のWebサービス・・・だと・・・。 ガチ鬱プログラマーとか書いている以上、芸風的に絡まないと嘘かなと思い、twitterでフォローされたのをきっかけにゆううつ部のブログを見て、何かお手伝いできることはないでしょうかとメールしました。そして実際に会って何度か打ち合わせしました
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Herokuで作るdevise認証サイト
ごきげんRails
GitHubを自前で持てるRails製オープンソースソフトウェア「GitLab」:phpspot開発日誌