2018/09/19セミナー資料

1. フレームワークに頼らない
Webプログラミング

2. 会社概要
社名 株式会社デジタルヒュージテクノロジー
本社所在地 東京都千代田区岩本町１－４－４
設立 1998年８月12日
資本金 1000万円
代表者 鵜川 徹

3. 会社概要
「クラウドから携帯端末まで・・・」を
合い言葉にクラウド構築からAndroid iOSまでの
開発を行っている会社です。
教育に関してもLPI-Japan
HTML5アカデミック認定校 となっています。

4. 自己紹介
川井田 新介
1992年3月11日生まれ（26）

5. 自己紹介
・元農家（サツマイモの苗を増やす人）
ウイルスに強い苗を作ってました！
・2017年12月期生としてDIVE INTO CODEに入校。
6月に卒業
・2018年2月からスクールに通いながら、DHTで
アルバイトを始め、7月より正社員として入社

6. 自己紹介
DIVE INTO CODE主催
DEMODAY 5th - 2018 - autumn 10月7日（日） 出場予定

7. 自己紹介
買ってよかったものを共有するサービス

8. フレームワークとは？

9. フレームワークは特定のプログラミング言語で書かれた、そのまま利用できる
ソフトウェアの主要部分の雛形(テンプレート)と、汎用的で再利用可能なクラ
スやライブラリ、モジュール、APIなどで構成され、また、開発者がコードを
記述して機能を追加、拡張するための方法や規約などが定められている。
引用元：IT用語辞典 e-Words

10. 皆さんフレームワークを
触ったことはありますか？

11. 代表的なフレームワーク
Ruby
・Ruby on Rails
PHP
・CakePHP
・Laravel
JavaScript
・Angular JS
・Vue.js
CSS
・bootstrap

12. 私はDICに入校してRailsを触り、
DHTに入社して生のPHPを触り、
最近はcakePHPを触ったりしています。

13. フレームワークの良いところ
・開発がはやい！
・コードの書き方をある程度統一できる！
・内部処理を意識しなくてもそれなりのものができ
る！

14. フレームワークの不便なところ
・思想に慣れる必要がある。（CoC等）
・内部処理よくわかんない。
・カスタマイズしにくい

15. （例）railsの思想
設定より規約（Convention over Configuration）
Don't Repeat Yourself (DRY)

16. （例）railsでのblog作成
$ rails new blog
$ cd blog
$ rails g scaffold Post title:string content:string
$ rails db:migrate

17. （例）railsでのblog作成

18. （例）railsでのblog作成
CRUDがすぐ作れる。

19. （例）railsでのblog作成
仕組みがわかるはずがない！！
！

20. Rubyでブログ作成を考えてみる

21. セキュリティ
？
ERBで出力す
る？ データベ
ース？
Rubyの実行環境を考える
サーバ
ー？
CGI？

22. セキュリティ
？
ERBで出力す
る？ データベ
ース？
Rubyの実行環境を考える
サーバ
ー？
CGI？

23. Railsのサーバー
• 標準だとWEBrick
• Puma
• Nginxで動かすならUnicorn
• Apacheで動かすならPassenger

24. 仕組みを覚えたいならWEBrick
Rubyの標準ライブラリなのでリファレンスもあり、
参考ページもすぐ見つかる。
webribkライブラリ
https://docs.ruby-lang.org/ja/latest/library/webrick.html
1分でHTTPサーバーを構築する
http://www.programing-style.com/ruby/webrick-server-start-1minute/

25. Webサーバー、
アプリケーションサーバー
などインフラ層の
挙動がわかる。

26. ERBで出力す
る？ データベ
ース？
Rubyの実行環境を考える
サーバ
ー？
CGI？
セキュリティ
？

27. セキュリティ
• セッションハイジャック対策
• SQLインジェクション対策

28. セッションとは、ステートレスの
HTTPをステートフルに変えるもの。
セッションハイジャック

29. 他人のcookieを奪い取ることが
できれば、そのユーザーの権限で
Webアプリを使うことができてしまい、
セッションハイジャック

30. セキュリティに不備のあるネットワークでは
cookieを覗き見することができてしまう。
セッションハイジャック

31. Railsでの対策
config.force_ssl = true
セッションハイジャック

32. Rubyでの対策
scheme = (!ENV[‘HTTPS’].nil? || ENV[‘HTTPS’] != ‘on’)? ‘http’ :
‘https’
http_url = scheme + ‘://‘ + ENV[‘HTTP_HOST’] + ‘:’ +
ENV[‘SERVER_PORT’] + ENV[‘REQUEST_URI’]
セッションハイジャック

33. アプリケーションが想定しないSQL文を実行させることで、
データベースシステムに意図しない動作をさせる攻撃方法
。
SQLインジェクション

34. SQLログイン（例)
SELECT uid FROM account_table WHERE uid = ‘ユーザーID’
AND pw = ‘パスワード’;
SQLインジェクション

35. 攻撃
SELECT uid FROM account_table WHERE uid = ‘’
OR 1 = 1- -‘ AND pw=‘任意の文字列’;
SQLインジェクション

36. パスワードもユーザーIDもわからなくても
ログインできてしまう。
SQLインジェクション

37. Railsでの対策
SQLインジェクション

38. Model.find(id)やModel.find_byほげ
SQLインジェクション

39. 「’」「”」「NULL」「改行」
が
エスケープされる
SQLインジェクション

40. ただし
SQLインジェクション

41. Model.where(hoge)や
connection.execute()、
Model.find_by_sql()メソッドは手動でエ
スケープする必要がある。
SQLインジェクション

42. Model.where("login = ? AND password = ?”,
entered_user_name,entered_password).first
SQLインジェクション

43. ?にentered_user_name、
entered_passwordに入力された値が適切にク
ウォートされる。
SQLインジェクション

44. 生の言語を触って
SQL サーバー
セキュリテ
ィ
標準
ライブラリ
HTTP
リクエスト
セッション

45. 生の言語の良いところ
・軽い
・コードの視認性が高い
・Webの仕組みを知れる

46. 考えたぶん仕組みがわかる。