SQLアンチパターン
本書はDB設計やSQL記述の際に避けるべき事柄を1章で1つ、25個紹介する書籍です。リレーショナルデータベースを中心に据えたシステム開発には、様々な場面で陥りやすい失敗(アンチパターン)があります。本書はデータベース論理設計、データベース物理設計、クエリの記述、アプリケーション開発という4つのカテゴリに分け、それぞれの分野におけるアンチパターンを紹介し、失敗を避けるためのより良い方法を紹介します。複数の値を持つ属性や再帰的なツリー構造の格納から、小数値の丸めやNULLの扱いに起因する問題、全文検索やSQLインジェクション、MVCアーキテクチャなど、実践的かつ幅広いトピックを網羅します。日本語版では、MySQLのエキスパートとして著名な奥野幹也氏によるアンチパターンを収録。データベースに関わるすべてのエンジニア必携の一冊です。 本書への称賛の声 監訳者まえがき はじめに I部 データベース論
「安全なWebアプリケーションの作り方」を読んでセッションを復習してみた - As a Futurist...
タイトルが長くて略称があれば知りたい感じの「安全な Web アプリケーションの作り方」を暇を見つけて読んでいます。今まであいまいなままだった部分を順を追って説明してくれるので、本当に助かります。Web アプリ作りの初心者は卒業したかなーという人は必ず目を通しておくと良いと思います。 Cookie を用いたセッションについて復習 「HTTP はステートレスで」とかいう話はよく聞きますが、じゃあどうやってセッション管理するのがいいの?って話をよく考えると体系的に聞いたことがなかった!というわけで、この本で文字通り体系的に学び直すことができました。 その中でも、「セッション ID の固定化」という話題はちゃんと分かってなかった部分があったので、こちらのサイトを参考に PSGI なアプリケーションを作ってみました(僕の書いたアプリ自体はその他の脆弱性に溢れていますがw)。コードはエントリの最後に。
Plack::Middleware::Session で Session Fixation 対策 - punitan (a.k.a. punytan) のメモ
Session Fixation XSS や事前に取得したセッションを利用者に送り込んで権限を昇格させる類の攻撃で、セッションIDをクエリに含ませたり、シーケンシャルなセッションIDを用いるような愚かなことをしなければ基本的に問題はないものの、 Session Fixation への根本的な対策として、ログイン成功後にこれまでのセッションを破棄し、新しいセッションを発行することが望ましい。 Session Fixation について詳しいことは IPA の出している『安全なウェブサイトの作り方(pdf)』改定第4版 p.15 から p.20 に説明があります。 0.13 今まで P::M::Session ではログイン成功後に新しくセッションを開始するのにちょっとした細工が必要でしたが、 0.13 からは古いセッションの破棄とあたらしいセッションの発行を、 $request->env->{
Plack::Middleware::Session もしくは Plack::Session::Store::DBI バージョン 0.14 の変更点について - blog.nomadscafe.jp
バージョン0.13以下の Plack::Middleware::Session の Plack::Session::Store::DBI は fork を伴うサーバで利用するとデータベースとの接続でエラーになるなどの問題がありました。バージョン 0.14 でエラーを回避できるオプションが加わっています。 http://search.cpan.org/~miyagawa/Plack-Middleware-Session-0.14/ SYNOPSISにある builder { enable 'Session', store => Plack::Session::Store::DBI->new( dbh => DBI->connect( @connect_args ) ); $app; }; このコードでは、builder実行時に DBI->connect も実行されデータベースに接続します。P
生産的になろうHOWTO: Be more productive (Aaron Swartz: The Weblog)
Translations: 日本語 | Русский | Беларуская “With all the time you spend watching TV,” he tells me, “you could have written a novel by now.” It’s hard to disagree with the sentiment — writing a novel is undoubtedly a better use of time than watching TV — but what about the hidden assumption? Such comments imply that time is “fungible” — that time spent watching TV can just as easily be spent writing
アーロン・シュワルツの「生産性について」を読み返す
ブログを書いている人、読んだことがある人ならなんらかの形でアーロン・シュワルツのお世話になったことがあるといっていいでしょう。アーロンはたった14歳のときに RSS の仕様策定にかかわった人物で、Reddit の立ち上げや、SOPA反対運動などでも知られていました。そして Raw Thought という、実に考えさせられる挑発的なブログの著者でもありました。 そのアーロンが、26歳の若さで自殺という形で命を絶ってしまい、アメリカのネット界は騒然となっています。私も長年読んできたブログの著者がこのような形でいなくなってしまったことにやりきれない喪失感を覚えています。この件については、最新のライフハックLiveshowでも時間をかけて扱いましたので、そちらも御覧ください。 そのアーロンが7年も前に、ライフハックという言葉がうまれようとしていた頃に書かれた「生産性について」というブログ記事があり
東京Ruby会議10と自宅Ruby会議01に参加しました #tkrk10 - ryopeko の何か
東京Ruby会議10 今回はCFPに応募したところ嬉しくも採択していただいてスピーカーとして参加してきました。 会期中は全体として温かいゆったりした空気が流れていたなあという印象。 テーマの一つである"いつものRuby"の話がたくさん聞けてよかったなと思いました。 色々運営側の目論見があってトークも含めた諸々の仕掛けがあったんじゃないでしょうか。 この辺の目論見については色んな意見があると思うし実際聞いているので、もっと運営側からの話があってもいいんじゃないかなあとも思った。 (何年後かにでもいいので、10のときはね〜的な感じで) バッチ交換で射幸心を煽るシステムは明らかにささたつが出すぎてて消費者庁が黙っていないかもしれませんが、結構これをネタに会話している人たちを見ていたのでニヨニヨしてた。 #RubyFriendsが意外と浸透していなかったのでもっと広まるといいですね。 残念ながら自
ソフトウェア開発にとって最大の阻害要因は納期 - 狐の王国
えっらそうに大規模開発を語るような立場じゃないんだけど、何かと話題のこのへんの記事を読んでいろいろと日ごろ思うところがふつふつとわいてきたので……。 Life is beautiful: 特許庁のシステム開発が破綻した本当の理由 Fumi's Travelblog: "費やした55億円、水の泡に 特許庁がシステム開発中断"って一体何だったのか、報告書を読んでみた 特許庁システムのことはそれなりに話題で、日本についてから何度も話にあがってきている。まあ不祥事だのなんだのって話もあるがそれはおいとくとしても、設計段階で60人体制ってだけでも多すぎるのに、増員で1300人体制とか……。設計を穴掘りかなにかと勘違いしてるとしか思えない対策でそりゃまあ破綻するよなあと。 それからね、中嶋さんの記事のコメント欄に書き込まれてた、よく言われる大規模開発でのこのへんの話。 SIerが開発を行う場合、この1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
