一意フィールド 長々と書いてあるが primary key のこと。複合キーとか、データベース全体で一意のキーを使う（！）とか、テーブル継承のときは階層につきひとつ（親子で共有する）とか紹介が続く。普通は auto increment 使うよねという感じだが GUID とか…

一月半くらい開いてしまったがまた読み始めた。むしろたった一月半しか経っていないことに驚いた。三ヶ月くらい前のことに感じる。 ユニットオブワーク 地の文がひたすら眠くなる感じでさっぱり頭に入ってこないが markNew() markDirty() メソッドはわかる。…

そもそもこの本を読もうと思った動機は「アクティブレコードとデータマッパーの違いを学びたい」だったのでこの章を読むために買ったと言っても過言ではない。その章に差し掛かった。 テーブルデータゲートウェイ 名前でだいたいわかるし UML 図みてもだいた…

この本最初の面白いところに差し掛かった感がある。けっこうわかりやすくて納得感もある。 トランザクションスクリプト でっかい .cgi ファイルというイメージ。ウェブでいうとリクエストの解析からデータベース接続、データ処理してビューを組み立ててレス…

だいぶ読むのがきつかった。邦訳があまり評判よくないことはレビュー等で知っていたが、これは確かに読めない。日本語で書いてあるのに意味がわからない、字面を追っても頭に意味が入ってこない。そこで原著を読めたり、読み比べられたらかっこいいんだけど…

Model View Controller トランスフォームビュー、 XSLT とか テンプレートビュー、いわゆるふつうのテンプレートエンジン使うようなの シングルステージビューとツーステップビュー、よくわからん・・・ ページコントローラとフロントコントローラ、これも・…

PoEAA 読み始めたのでメモ。積ん読いろいろ残ってるけどまぁ気にせず読みたい気持ちに素直に隸おう。いやなんでそんな字に。従おう、と書いたのだが。生真面目にまとめようとしすぎると息切れするので大雑把を心がける（？）こういうときマインドマップを習…

いわゆる CSRF の話。 CSRF Cross-Site Request Forgeries アプリケーションの正規の利用者の権限で、意図せず重要な処理へのリクエストが発行され、悪用される（例: はまちちゃん「こんにちはこんにちは!!」） XSS とは違い直接アカウントの個人情報やセッ…

ハイライト二つ目。 SQL インジェクション。 4.3 XSS をまとめるのにずいぶん時間がかかったので時間あけて二度読みなおした。 SQL インジェクション（影響範囲とか危険性はいうまでもない） エラーメッセージ経由の情報漏洩 cast() をつかって型不一致でエ…

この本最初のハイライト、ってところかな。線引き始めるとキーワードだけじゃなくてそこらじゅう真っ赤に塗りつぶしそう。 XSS 基本編 概要 サイト利用者のブラウザ上で、攻撃者の用意したスクリプトの実行によりクッキーを盗まれる（なりすまし） ブラウザ…

Webアプリケーションの入力には、 HTTP リクエストとして渡されるパラメータ (GET、POST、クッキーなど) があります。 クッキーやヘッダなども入力である == 脆弱性がないか注意、意識を忘れずに 文字エンコーディング 文字エンコーディングに起因する脆弱性…

4章は長いので節ごとにわけて書かないと破綻しそう。 脆弱性の大分類 出力時（インジェクション系） 処理時（認証認可、 CSRF、ディレクトリトラバーサル） インジェクション系の脆弱性は共通の原理に基づく SQL インジェクション脆弱性が発生する原因は、デ…

HTTP の基礎については、復習のつもりで読んだ。いちおうちゃんと理解できてたと思う。 パーセントエンコーディング パーセントエンコーディング - Wikipedia パーセントエンコーディングは、対象の文字列をバイト単位で「%xx」という形式で表します。xx は…

Fiddler 使ったことないので試してみよう。Download Fiddler Web Debugging Tool for Free by Telerik

脆弱性とは 悪用できるバグ セキュリティバグ バグ == アプリケーションの不具合である、という認識をはっきりもつこと、異常なのだと認識することが大事。 運営者のうける被害、利用者の受ける被害 ボットネットワーク構築に加担してしまう セキュリティバ…

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践作者: 徳丸浩出版社/メーカー: SBクリエイティブ発売日: 2011/03/01メディア: 単行本購入: 119人 クリック: 4,283回この商品を含むブログ (146件) を見る

「良いコードを書く技術 ?読みやすく保守しやすいプログラミング作法 (WEB+DB PRESS plus)」を読んだ。4/21に買った本のなかで一番最初に読み終わった（一番薄かった）全体的に、浅く広くという印象を受けた。知っている、意識していると感じる内容が多かっ…

変更を起点としてビルドを実行する CI が必要とする機能 バージョン管理システム ビルドスクリプト フィードバック手段 ソースコードの変更を統合するプロセス integrate ボタン 自動化された繰り返し実行可能なテスト しょっぱなから CI について少し誤解し…

私たちの経験では、ソフトウェア開発を単なる「仕事」としてとらえる人と、「専門性の高いプロフェッショナルの仕事」としてとらえる人との間には、明確な違いがある。本書は、プロフェッショナルとして働き、プロジェクトの中に繰り返し作業があることを自…

エンタープライズ アプリケーションアーキテクチャパターン (Object Oriented SELECTION)作者: マーチン・ファウラー,長瀬嘉秀,株式会社テクノロジックアート出版社/メーカー: 翔泳社発売日: 2005/04/21メディア: 大型本購入: 10人 クリック: 635回この商品…

「レガシーコード改善ガイド」を読んでいる。素晴らしい本だと思う*1。読み始めてすぐに、感動して勢いに任せて書いた感想文があって、あまりに褒めすぎなのでちょっとどうかなと思って公開してなかったんだけど、半分くらい読んで評価は揺るがないと確信し…

REWORK の邦訳。 DHH や basecamp や campfire で有名な 37signals のビジネス本。本屋に在庫があったので買ってみた。ハヤカワ新書というのがあるんだね。内容はウェブでわりとよく見かける「仕事をポジティブに！」みたいなのが多い。この手の話題が好きで…

残念残念とギター侍がリバイバルしたかのように盛り上がっているさなかに読んだ。話題性という点からみると、あと二週間早く読み終わって感想を書いておかなければ意味がなかったな、と残念に思う（アフィリエイト的な意味で）。もう残念ブームも下火だろう…

マスタリングPerl作者: brian d foy,菅野良二出版社/メーカー: オライリージャパン発売日: 2009/03/23メディア: 大型本購入: 3人 クリック: 23回この商品を含むブログ (14件) を見る「マスタリングPerl」を買った。あと Web+DB Press の一番新しい号（はてな…

「サーバ/インフラを支える技術」と比べて、全然面白くない。「サーバ/インフラを支える技術」のほうは、年末年始でまとまった読書の時間もとれたし、はしょって読んだところもあるので、読み方が少し違うかもしれないけど、退屈さは感じなかった。対して、…

「悩む力」と一緒に買った本だが、こちらはとても良い。まだ途中だけど、面白い。レバレッジシリーズの本田直之さんが帯に推薦文を書いていたのと、半袖さんのブログ（http://blog.hansode.org/archives/51735280.htmlだったか）でも「筋トレは続けることが…

つまらなかった。著者は夏目漱石ファンのようで漱石の作品の引用とか「私はこう解釈しました」みたいな話が多いけど、「どうもこの人○○の分野には不勉強そうなのに知ってる範囲で語ってしまっていて中途半端に見えるなあ」というのが結構多かった。梅田望夫…

会社に通称「数学部」という有志の勉強会があり、名前の通り数学を学ぶ集まりなのだけど、今月からシーズン 2 ということで統計学を教わっている。しかし「いきなり難しいことをやってもわからんだろう」という講師のはからいで、「マンガでわかる統計学シリ…

Lingr の江島さんが前に CNET のブログで紹介していたような気がする。これも半年くらい前に買って、そのときは「なんか、期待していたほど面白くなさそうだなあ」と思ってろくに読んでなかったもの。まだ第一章しか読んでないけど、「人が革新的なアイデア…

半年くらい前に、ショッキングなタイトルにつられて買った本。数ページ読んであまり面白くないなあと本棚に入れっぱなしにしてあったのをまた引っ張り出してきて半分くらい読んで、こりゃダメだと思ったので感想を書いて捨てる本の山行き。まず文章がとても…