■掲示板に戻る■
全部
レス数が1000を超えています。残念ながら全部は表示しません。
■TYPEプログラミング部
- 1 : :2021/08/16(月) 04:11:37.51 ID:nd334xje
- 42 TokyoのPiscine受ける😢
だる😢
- 203 :コードネーム:NANASI:2022/04/26(火) 08:54:40.40 ID:3kheBKI6
- >>202
その気になれば全部同じメソッドでいけるけど読みずらい書きずらいだから分けるってのは大前提で理解してる
MVC
VCはともかくどこからをMとしてファイル分けるべきなのか、この研修期間中ではなかなか掴み取れない
サーブレットやJSP以外にクラス作るってなったら脳死でModelとしたらいいんか、、、?
別枠でポニョだかホモだかってやつあるらしいじゃん
ピンとこないなあ
- 204 :Anonymous:2022/04/26(火) 08:55:33.76 ID:3kheBKI6
- なんかこう参考にするやつとか欲しい
線引きをしっかりしたい
- 205 :名無しさん@〜AfterStory〜:2022/04/26(火) 08:56:20.18 ID:3kheBKI6
- POJO
ポジョか
やっと思い出した
- 206 :名無しは滅びぬ:2022/04/26(火) 10:04:56.56 ID:Vq6fEpac
- データの構造を入れるのがモデルやぞ
したがってモデルは基本的にはフィールドとgetter/setterしか持たない
MVCに対応しない処理が必要ならユーティリティクラスを作ってもいい
- 207 :出生番号774号さん:2022/04/26(火) 12:05:33.57 ID:3kheBKI6
- >>206
すごくわかった気がします
なるほどゲッターとセッターと、あとなんかインスタンスフィールドとかいくつか持ってる例のやつ
あれをモデルと呼ぶんですね
- 208 :名無しのごとく:2022/04/26(火) 12:15:31.68 ID:3kheBKI6
- ログイン後のページ遷移にforward使ってるけど
<a>タグと違ってURL変わらないのが何か気持ちが悪い
ヘッダタグから書き変わるからページタイトルは変えられるけど…
普段使うサイトではURLから変わるから何かを間違えている気がします
<a>タグで飛ぶとまともにデータを渡せないのでどうしたものか、、、パスワードとかはリクエスト内に埋め込みたいのでGETがやばいってのはわかります
ショルダーハッキングダメ、絶対
- 209 :名無しさん@お腹いっぱい:2022/04/26(火) 18:36:25.21 ID:3kheBKI6
- Javaの話で申し訳ないが
サーブレットのdoPostメソッドをオーバーライドして、requestとresponse以外にsessionを引数で渡せるようにし、そのsessionでログイン情報やりとりすればいいのか
Http requestのパラメータにIDとか入れても一応フォワード先に渡せるけど、それはクライアント側で自由に設定できるからたとえば人のID名乗るだけでハッキングできちゃったりする…と
- 210 :名無しの花嫁:2022/04/26(火) 18:40:26.91 ID:3kheBKI6
- >>209
リクエストにユーザー情報いれるとハッキングできちゃうなあってことには気がついたんだけど
じゃあもう一個引数渡す発想まで至らんかった
IDとPASS渡してページ開くたびにデータベースと照合してたわ
間抜けすぎ
- 211 :もうゴールしてもいいよね名無しさん:2022/04/27(水) 18:24:42.28 ID:IX3Gp83s
- Getでもsession使えばデータ渡せるんかい
いや、厳密にはsessionはサーバー側でデータを保持するやつか渡せるとは違うか
でもとりあえずページ間でのデータのやりとりができると
完全に理解した
- 212 :危険ですので名前をあたえないでください:2022/04/27(水) 18:57:08.95 ID:IX3Gp83s
- セキュリティ面がわからん
一度発行したSessionをサーバーはいつまで保持してるのかとか
IDの生成規則とか
俺が使ってるやつでも16の32乗通りあるとはいえ、ここ次第でハッキングできそう
- 213 :名無しさん:2022/04/27(水) 19:02:07.55 ID:IX3Gp83s
- javax.servlet.ttp.HttpSession次第ってことやな
気に食わなければ改造しな!って感じ
多分今回の研修じゃここまで求められてないけどどうしようかな
まあGWあるし勉強してみるか
- 214 :名無しとかなんなん?:2022/04/27(水) 21:37:09.54 ID:J7BfrChv
- 16の32乗分の1
と
16の32乗分の5
1個ずつ総当たりで試して超絶運悪く当たりを引かれる確率ってこの場合単純に5倍、、、ではなくそれ以上の確率だったよな
たしか1回目が16の32乗分の1で
その次が(16の32乗-1)分の1になるはず
それらを掛け合わせたら確率がでるからえーと、、、
まあ分母が大きすぎて結局なんでも良くねみたいな気がしてきちゃうな
- 215 :オレオレ!オレだよ、オレだって!!:2022/04/27(水) 21:42:33.60 ID:J7BfrChv
- そう単純な話じゃ無いか
もっと真面目に授業受けたらよかった
- 216 :名無し:2022/04/29(金) 14:27:31.53 ID:TM4phPhJ
- 全部サーブレットのスーパークラスを作って活用せよって命を受けてて
まあログイン済みかどうかってのをセッション使って判定する部分かなあ、ログイン前ならログインページに飛ばしたりとかかなあって思ったんだけど
一見いいんだけどこれだと唯一、ログインページではこの部分全部オーバーライドするから「活用せよ」を満たしてないような気がする
まあ一応他の例えばインスタンスフィールドとかは有効活用できてるから、、、こんなもんかな?
それとももっと原始的な部分に留めておくべき?
- 217 :出生番号774号さん:2022/04/29(金) 14:30:51.84 ID:TM4phPhJ
- BaseServlet
・LoginServlet
・OtherServlet
・・HogeHogeServlet
・・FooBarServlet
こんな感じの階層で継承しよかな?
ここでいうOtherServletに前述のログインチェックの処理を定義するのが普通かな?
- 218 :名無しさん@ひまだお!:2022/04/29(金) 14:35:18.14 ID:TM4phPhJ
- コントローラーと連携するJSPのパスを受け取ったりとか
なんつーかすごい原始的な部分だけをBaseServletに定義するのが普通かな?
- 219 :名無しさんは作業中:2022/04/30(土) 11:22:06.21 ID:5mDMdidy
- >>217
これ辞めて、
全員スーパークラスを直接継承するスタイルにして
doGetメソッドはこんな風に書いてみた
ログインチェックを行い、成功時と失敗時にそれぞれ特定のメソッドが呼び出される
そっちはfinalじゃないからオーバーライドできる感じ
例えばログインページではオーバーライドしてログイン後のページとは処理を変えようかなと思ってる
どうかな
ttps://i.imgur.com/tygW4kN.jpg
- 220 :名無しの保護者です:2022/04/30(土) 17:19:38.22 ID:5mDMdidy
- あんま期待せず図書館眺めてたけど良い本に巡り会えて運がいい
タダでこれは良いですなあ
税金払ってる甲斐がある
- 221 :名無し?誰だよそれ:2022/04/30(土) 17:30:55.31 ID:5mDMdidy
- おれログインフォームに打ち込まれた情報そのまま文字列に連結してSQL文にしてたわ
これSQLインジェクションされかねないのか
聞いたことはあるけど、まさかその時が今だと思ってなかった
- 222 :UTF-8:2022/05/01(日) 13:55:14.28 ID:cYV674Ah
- ttps://imgur.com/MhEIayF.jpg
これのModelの部分どうしろって言ってるんだ?
common.constants.Constants.Modelクラスを作るのは分かったけど
そこの説明がないぞぉ
プレースホルダ方式でSQLを使うときのあの、何ていうのか、型?テンプレート?あれを保持するのかなあとか思った、にしてはちょっと周りくどいのでは・・・?
それならStringの変数一個でいいもんね。クラスじゃなくていい
なんだこのモードっていうのは
- 223 :UTF-8:2022/05/01(日) 14:00:05.29 ID:cYV674Ah
- 詳細設計書ってこんなもんなのか?
俺が慣れてないから疑問に思うだけだろうか
あまりにエンジニア任せじゃないか
ログインチェックすらしろって指示ないんだけど、これは勝手に作らないほうがいいのか?
そうするとURL直飛びでログイン回避できちゃうけど
- 224 :UTF-8:2022/05/01(日) 14:04:47.69 ID:cYV674Ah
- >>222
クラスである意義を保つために
パラメーターを当てはめて実行するメソッドまでModeクラスに組み込むか?
回りくどい気がするけどなあ。なんか設計した人の意図と違う気がする
- 225 :UTF-8:2022/05/01(日) 14:30:51.16 ID:cYV674Ah
- ttps://imgur.com/kZDACGI.jpg
こんな感じかなあって書いてみたけど、やっぱりそんなわけなくね!?
ややこしすぎるだろ
戻り値がMapなのも気に食わない
こういう意味なら戻り値はListとMapのネストが適切じゃないか?だってsqlの結果だろ?
絶対何か解釈を間違えてるって 何なんだ一体
- 226 :名前を要求するニダ:2022/05/06(金) 08:47:17.30 ID:n+mSRQ5Q
- コメントで2行以内で表現できる粒度か
フルスクリーン1画面に収まる程度の粒度か
どっちを上限に細分化していくか迷ってる
- 227 :危険ですので名前をあたえないでください:2022/05/06(金) 08:49:51.95 ID:n+mSRQ5Q
- 後者が理にかなってそうかな?
上限という意味では
でも場合によってはもっと細分化したほうがいいシーンありそう
- 228 :ラジオネーム 名無しさん:2022/05/06(金) 08:50:23.96 ID:n+mSRQ5Q
- 両方意識していくか
- 229 :名無しの奇妙な冒険:2022/05/06(金) 09:06:26.04 ID:be+0pdLr
- スクリーン1画面の方が嬉しいな
バグがあったらコメントは信用できないし保守も面倒くさい
- 230 :ウホッ!いいサラダ…:2022/05/06(金) 12:01:56.18 ID:n+mSRQ5Q
- オッケー
- 231 :名無しさん@〜AfterStory〜:2022/05/06(金) 12:06:25.13 ID:n+mSRQ5Q
- どのリソースを解放したらどのリソースが一緒に解放されるのかとかわかんなくて
void close()なメソッドを持ってるクラスにであったら親の仇のように呼び出して例外は無視してるけどこれでいいのか不安になってきた
少なくともカッコ良くはない
- 232 :名無しって知ってますか?:2022/05/06(金) 12:15:14.77 ID:n+mSRQ5Q
- SQLステートメントのBoolean isClosed()メソッドがthrows SQLExceptionなのちょっと何言ってるのかわからない
データベース接続エラーの時にスローするってかいてあるけど、嫌だからそういう時はreturn falseしてくれればいいのでは?
接続エラーとclose済みの違いが分からん
- 233 :たおやかな名無し:2022/05/06(金) 12:31:13.14 ID:n+mSRQ5Q
- 試しに無限ループでisClosedメソッド呼び出して
途中で物理的にデータベースと切断してみたけど例外出てこなくてワロタ
ますますわからん
- 234 :オレオレ!オレだよ、オレだって!!:2022/05/06(金) 12:34:25.07 ID:n+mSRQ5Q
- 大元のConnectionにはなんかisValidメソッドがあってこれはDBと切断するとfalse返してくれる
これ、Connectionを解放したら派生して生まれたなんやかんやも全部close扱いになるのかな
試してみよう
- 235 :勇者名無し:2022/05/09(月) 19:17:42.96 ID:rzDKAYdW
- オブジェクト一個欲しいだけなのに
一度コレクションに入れてから取り出して使えって書いてあって
そんなわけなくね?俺が何か間違えてるはずと思って課長に確認とったらそのまんまだった
この会社やばいかもしれん
そんでわかった!コレクションにセットでなんか他にも入れるんやろ!って思って聞いたら何も入れるなって言われた
- 236 :名無しの花嫁:2022/05/09(月) 19:19:02.22 ID:rzDKAYdW
- ガアw
- 237 :名無しさん@〜AfterStory〜:2022/05/09(月) 19:22:06.24 ID:rzDKAYdW
- 具体的にはMap<String, Object>にBean1個入れて扱えだそうで
メリットがなんもわからん
コメントもかけって言われたから書くけさど//設計書で指定のあるクラスです指示されたクラスです
ってめっちゃアピった
俺は悪くないぞ
俺は悪くない
- 238 :動け動けウゴウゴ名無し仮面:2022/05/09(月) 19:23:32.36 ID:rzDKAYdW
- 100歩譲ってkeyはStringじゃなくて定数でいいでしょ
Enum使え
- 239 :以下、やる夫に変わりましてイケメンがお送りするお:2022/05/09(月) 19:25:15.03 ID:rzDKAYdW
- おいおいコレクションになんか入れれるようにしてるんかもしれんけど、ゲッターを用意すれば済むと思うし
もっと多様性を!ってことでも定数でいい
しょうもない打ち間違いで要素取り出せないとかが目に見える
- 240 :また会いましょう名無しさん:2022/05/09(月) 19:50:48.78 ID:2iYJkoaq
- oracle.jdbc.pool.OracleDataSource使ってるんだけど
これコネクションのキャッシュってどうすればいいんやろかな
- 241 :名無しのごとく:2022/05/09(月) 19:56:22.20 ID:2iYJkoaq
- つうかDBとのコネクションで作れるステートメントの数に制限あるんか?
少なくとも制限かけれるみたいやけど
かけなかったら無制限か?そうじゃない気がする
試しにループで作ってみるか、、、もしDB落ちたら泣くからやめよう
- 242 :狐を狩ろうぜ名無しさん:2022/05/09(月) 20:00:08.41 ID:2iYJkoaq
- ttps://i.imgur.com/2ify84S.png
これやったらEclipseが「よくないよ」って警告してきたんだが、原因がわかるTYPERおらん?
- 243 :名無しの奇妙な冒険:2022/05/10(火) 12:23:49.66 ID:JcthBuK3
- 論理接続とやらを取得できた気がするけど
確かめ方がまたわかんなくて草
糸口はあるからまあやってみる
- 244 :名無しより悪意をこめて:2022/05/10(火) 18:40:30.33 ID:JcthBuK3
- 会員制ページのユーザーマスタで変更を加えたアカウントのセッションにサーバーから手を加えようと思ったんだけど
セキュリティ上の理由でセッション一覧は取得できないようになってるって聞いてどうしようかってなってる
- 245 :名無しさん@社長:2022/05/10(火) 18:53:31.92 ID:JcthBuK3
- ま、まあそもそも負荷も考慮したら褒められた処理じゃないしな
できたらいいなって感じだったしいいや
- 246 :ピザとコーラとときどき名無し:2022/05/11(水) 12:48:07.35 ID:PNq2pMVb
- コネクションをキャッシュしたいだけだからDB側で何か操作いると思えんけどキャッシュ有効にしたらログイン認証でエラーが出た
- 247 :ウホッ!いいサラダ…:2022/05/12(木) 07:25:09.19 ID:NfOpCrZk
- Ajax使ってサイトのレスポンスを、早くするのはわかった
プライバシーキチはJavaScript無効にしてたりするからAjax使えない場合の処理も技術しておく必要もわかった
そこでふとCookieが使えない場合にURLつかってセッションIDを渡す処理してないことに気がついた
- 248 :名無しさん@平常運行:2022/05/12(木) 07:25:50.29 ID:NfOpCrZk
- でもサーブレットの共通処理を記述するためのスーパークラスを設けておいたので拡張は容易なはず
今日はその辺やろう
- 249 :名無しのごとく:2022/05/12(木) 12:34:51.00 ID:bunLg2oV
- まずJavaScriptを使わないhtmlレスポンスに渡して
その中でJavaScriptの読み込みを試みる
JavaScriptが動けばJavaScript側でhtmlを書き換えてレスポンスを上げる処理を行うよう改変する
- 250 :名前を要求するニダ:2022/05/12(木) 12:37:39.06 ID:bunLg2oV
- これだけだと初手のテーブル一覧表示の時にdb処理が終わるまでページが切り替わらないなあ
インラインフレーム組み合わせたら思う通り動くだろうか
- 251 :だから名無しだっちゅーねん:2022/05/12(木) 12:52:04.23 ID:bunLg2oV
- クラスの名前にページIDをつけろって言われてて
S01010Servletとか命名してるんだけど
こんなわかりにくい名前つけるメリットってなんなん
- 252 :名無しは滅びぬ:2022/05/12(木) 18:37:19.83 ID:bunLg2oV
- HTMLだけでttpリクエスト送るけどレスポンスは受け取らないとかいうトリッキーな真似できんよな?
- 253 :名無しさん:2022/05/13(金) 22:27:50.54 ID:Cb0xloaQ
- 説教みたいなことはお前に言われたくないと思ってるよ
- 254 :Nanasin.....:2022/05/13(金) 22:28:09.62 ID:Cb0xloaQ
- すまん誤爆
- 255 :名無しくんオッスオッス!:2022/05/14(土) 12:32:41.75 ID:2eLMmi7l
- TypeのためにMinecraftサーバー立ち上げてスクリプトで部活スレとチャット連動しようとしたら
Raspberry ip 4Bが悲鳴を上げたので断念
サーバー立ち上げたらパフォーマンスのエラーめっちゃ出る
- 256 :名無しがしゃべった!:2022/05/14(土) 12:33:44.42 ID:2eLMmi7l
- Pi な
- 257 :名無しさん(笑):2022/05/14(土) 20:38:15.69 ID:lKKVLCWJ
- マイクラサーバ立ち上げられるスペックのラズパイがあるんかい?
- 258 :名無しの話し:2022/05/14(土) 21:59:03.46 ID:r0B+L/rm
- 現状でも立ち上がるのは立ち上がるよ
先駆者もいる
でもうちのは冷却が弱いな
ゴリゴリに冷やせるクーラー買おうかは検討してる
- 259 :UTF-8:2022/05/14(土) 22:31:29.18 ID:2eLMmi7l
- あ、でも起動完了してからしばらくするとCPU使用率10%まで下がったし温度も正常だわ
[Server thread/WARN]: Can't keep up! Is the server overloaded? はたまに出るけど
- 260 :名無しさんは作業中:2022/05/15(日) 13:25:17.63 ID:2Y8ZedjO
- うわ面倒くさい手順踏まないでも公式イメージャーでSSDに書き込むだけでUSBブートできるようになってるやん
やっぱRaspberryしか勝たん
- 261 :タイピングには自信があります:2022/05/16(月) 07:19:09.96 ID:I6WZfZZj
- Kukulu配信者にアカウントのapiキー貼ってもらって
一緒に当該スレURLも貼ってもらう
apiキーはセキュリティ的にサーバーに送らず、JavaScriptでクライアントPCからKukuluの方へ直接コメント取得API叩きにいく
その実行結果をサーバーに集めてネトラジの要領で音声配信
するとスマホでも使える混合読み上げ機になるかもしれん
- 262 :ウホッ!いいサラダ…:2022/05/16(月) 07:20:48.02 ID:I6WZfZZj
- 音声合成は最近棒読みちゃんが有料化しつつあるので完全無料のVOICE BOXあたりがおすすめ
- 263 :もうゴールしてもいいよね名無しさん:2022/05/16(月) 19:39:52.03 ID:HqP32mr+
- 軽く他の言語の触りをやっておきたいけど環境構築がめんどくさいけどProgate使ったらなんか負けたような気がする
- 264 :ウホッ!いいサラダ…:2022/05/16(月) 19:41:51.69 ID:HqP32mr+
- PHPとVB
あとJavaScriptも一回ちゃんと勉強しときたい
- 265 :名無しさん@ひまだお!:2022/05/18(水) 18:54:12.78 ID:1QoDrjdD
- 列挙型ってメソッドを定義できるんすか
盲点だった
言われてみれば出来そう
独自のクラスのインスタンスを文字通り列挙してる感じなのか
- 266 :名無しさん@TYPER:2022/05/18(水) 18:58:04.70 ID:1QoDrjdD
- そうと別れば色々やりたいこと出てきて草
- 267 :Nanasin.....:2022/05/18(水) 19:05:45.11 ID:1QoDrjdD
- サーバーサイドで思いつく限りのパラメータに定数使って徹底的に打ち間違い防止してるけど
JavaScriptどうしよう
一応JSONにして定数を送れば使えるけど
なんかこんなしょうもないこだわりのためだけにトラフィックをわずかとはいえ増やすのはなあ?
他所は他所!JavaScriptはJavaScript!の思考で行くか
- 268 :Nanashi days:2022/05/18(水) 19:09:59.88 ID:1QoDrjdD
- 定数にすると常にStatic領域を圧迫するけど
見返りにフル稼働してる時のメモリ使用総量は減少するはずだからパフォーマンスって面ではそうデメリットないと思ってるんだけどそれでいいのかな
まあJavaは定数じゃなくても頻繁に使われる値を勝手にキャッシュ?して使います何かがあった気がするから
そこまで突き詰めたらパフォーマンス落ちてるんかも知らんが
- 269 :名無しさん@FXには興味ありませんか?:2022/05/18(水) 19:16:04.16 ID:1QoDrjdD
- 今日の書き込みは25件です!res
- 270 :たおやかな名無し:2022/05/18(水) 19:16:53.15 ID:1QoDrjdD
- TYPEの総力の1/5は俺一人で担ってるみたいな感じ
- 271 :以下、やらない夫に変わってハンサムがお送りするだろjk:2022/05/19(木) 08:36:27.89 ID:ddXU5Ucx
- パラメータのキーがStringとかおれは信用しないわよって感じ
ラッパークラス作ってString型のキーでパラメータ取得できないようにしたら正確悪いやつみたいに思われるかな
- 272 :ウホッ!いいサラダ…:2022/05/19(木) 08:39:02.08 ID:ddXU5Ucx
- 新しいキー使いたかったら定数クラスに宣言してから使えばいいのぜ
僕はそう思うにゃわん
- 273 :名無し!お許しください!:2022/05/20(金) 12:06:47.28 ID:wyfe2QqY
- まじなんでStringなんだ
- 274 :名無しの心:2022/05/20(金) 21:32:38.96 ID:hAHwS8+O
- 一旦Object型にListを入れないといけないけど
その後Listに戻そうとしてもジェネリクスまでinstanceofで判定できないから安全性がない
一旦Object型にするのは指示だから揺らがない
今はListをフィールドにもつBean作ってやってるけどもっといい方法ないかな
- 275 :名無しは聡を知れ聡を:2022/05/20(金) 22:52:06.26 ID:hAHwS8+O
- SQL実行結果を一度全部オブジェクトに書き出してClose、そこから処理を始めるより、
ResultSet使ってその場で処理、Beanなり作っちゃってclose処理した方が理に適ってるな
引数をもとに4択、ページを元に6択で別れるから24パターンの処理書かなあかんのでめいいっぱい整理して抽象メソッド作らないとなあ
- 276 :邪智暴虐の魔王名無し:2022/05/20(金) 23:01:02.12 ID:hAHwS8+O
- パラメータにMap<String, Object>使え問題は意地でも避けよっと
打ち間違い、見間違い、重複…
俺は人間を信用しないぞ
っていうか俺がやりそうだから嫌、常に気を張るのも疲れるし
Enumが大正義ですね
- 277 :名無しの心:2022/05/21(土) 11:01:39.46 ID:+C1ofXaT
- >>276
列挙型.toString()をキーに渡すよう徹底するか
オーバーロードして列挙型を渡された時はtoStringかけて使うようにするかどっちにしようかな
後者が好き
- 278 :出生番号774号さん:2022/05/25(水) 22:10:21.55 ID:FD9xw486
- Webアプリケーションのサーバー処理の話なんだけど
URLに直接パラメータを指定できる仕様は無制限だと、ユーザーがIDやパスワードなんかを不適切にURLに載せてブックマークに入れたりしかねないと思って
任意のパラメータ以外を確認したら取り除いてリダイレクトかけるようにスーパークラスで定義したんだ
こういう脆弱性対策?って何か名前付いてるんかな
リダイレクトしても一回はアクセスしてるわけだからネットワークのログには残るけど、その行動の利を潰しておくことで責任は果たせるかと思って
- 279 :名無し探してます:2022/05/25(水) 22:18:58.09 ID:b7T7SRck
- サニタイジング
- 280 :そうです私が変な名無しさんです:2022/05/25(水) 22:32:57.87 ID:FD9xw486
- さすがちぱーは博識、、、
ggったけどやってることはまさしくこんな感じだな
パラメータ自体は適切なものなんだけどURLに含めるの色々とは良くない奴をリクエストボディに入れて欲しくてこういう風にしてるんだけどサニタイジングって呼んでいいのかな
- 281 :名無しさん!?:2022/05/25(水) 22:36:50.00 ID:FD9xw486
- まあそうか
仮に他にもやばい脆弱性があって、兼ね合わせればURLのパラメータを悪意を持って作ることで入力した内容を攻撃者に転送するようにできるかもしれないもんな
そんな場合も想定すると、まさしくサニタイジングって感じなんですか
ありがとうスッキリした
- 282 :以下、名無しに変わりましてTYPEがお送りします:2022/05/27(金) 08:46:23.86 ID:st03WPw0
- 動的なSQL文の生成にあらかじめ宣言しておいたDBのカラム名定数を使ってるんだけど
外部から値を持ってくるってことは特殊文字のエスケープ処理したほうがいいのかって思って迷ってる
外部って言ってもソースコード内だからなあ脳みそパンパカパーンに定数扱わなければ問題ないけどなあ
- 283 :Nanasin.....:2022/05/27(金) 08:47:17.10 ID:st03WPw0
- DBのカラム名定数はプレースホルダのパラメータのバインドにも使うから、定数はあった方がいいと思う
- 284 :番組の途中ですがアフィサイt(ry:2022/05/27(金) 08:48:03.14 ID:st03WPw0
- 列挙型定数のメソッドにSQLの特殊文字をエスケープするメソッドを定義してそれを使うべきかな
- 285 :名前なんて無い:2022/05/27(金) 08:54:32.31 ID:st03WPw0
- Select * from type where id = :id
- 286 :名無しさん(笑):2022/05/27(金) 08:55:23.06 ID:st03WPw0
- ¥
- 287 :名無し!お許しください!:2022/05/27(金) 08:56:12.77 ID:st03WPw0
- あれ、typeが特殊文字エスケープできてないやん大丈夫かこれ
- 288 :名無しさん@お腹いっぱい:2022/05/27(金) 08:59:06.83 ID:st03WPw0
- まあ大丈夫やろたぶん
- 289 :怪しい名無しさん:2022/05/27(金) 11:22:31.91 ID:JGY1ni2U
- うてるよ;unchi
- 290 :動け動けウゴウゴ名無し仮面:2022/05/27(金) 12:12:18.23 ID:st03WPw0
- チンクルの入力時のバグか
- 291 :名無しの攻撃!:2022/05/27(金) 18:41:24.14 ID:st03WPw0
- セッション固定化攻撃対策してた
それはすんなり終わったんだけど
参考までに他のサイト見に行ったらセッションID長すぎでワロタ
そうだよなあれくらい長くないとなんか不安だよ
俺も真似しよ
- 292 :名無しさん(笑):2022/05/27(金) 19:00:20.88 ID:st03WPw0
- もっぱら使用感やパフォーマンスの向上にJavaScript使ってるけど
何か必須な機能に組み込んでみたいなあと思って
セッションのタイムアウトを30秒とかに設定して、ページ開いてる間はJavaScriptが適当秒ごとに「生きてます」って送信することにした
これもどうせ名前ついてるデザインなんだろうなあと思います
- 293 :たおやかな名無し:2022/05/27(金) 19:01:19.81 ID:st03WPw0
- 何を好き好んで環境に依存するのかって感じだけどもういいんだ
やりたいからやるんだ
- 294 :勇者名無し:2022/05/27(金) 23:59:36.93 ID:BIpI7Jyi
- 暇つぶしに始めたけど
急にPHPの問題になってチンプンカンプン
SQLインジェクションであってくれといろいろ試したけどダメだった
メタ的に考えても多分DB使ってない
コードインジェクションするんだろうけどどうすんのやろな
ttps://www.hackertest.net/included.htm
- 295 :名無しさん@ひまだお!:2022/05/28(土) 00:23:10.54 ID:kdVp5hmu
- いや、やっぱSQLか?でもいろいろ試したけどなあ
' OR 1=1;--から始めて
(結果が1行じゃないとfalse返す系かもしれん・・・)と思って
1行に絞ってみたりとか
- 296 :/n/n:2022/05/28(土) 01:04:27.72 ID:kdVp5hmu
- この一個前がソースコード何も読まんで、ページ読み込みのずいぶん早いイベントでJavaScriptでパスワード要求されて無理ぽっていう問題で
じゃあJavaScriptきればいいじゃんってことでページ読み込んだらパスワードが書いてあったみたいな、なんかとんち的な問題だったからこれもそういう感じだったりして
- 297 :/n/n:2022/05/28(土) 01:04:30.79 ID:kdVp5hmu
- この一個前がソースコード何も読まんで、ページ読み込みのずいぶん早いイベントでJavaScriptでパスワード要求されて無理ぽっていう問題で
じゃあJavaScriptきればいいじゃんってことでページ読み込んだらパスワードが書いてあったみたいな、なんかとんち的な問題だったからこれもそういう感じだったりして
- 298 :/n/n:2022/05/28(土) 01:04:35.04 ID:kdVp5hmu
- この一個前がソースコード何も読まんで、ページ読み込みのずいぶん早いイベントでJavaScriptでパスワード要求されて無理ぽっていう問題で
じゃあJavaScriptきればいいじゃんってことでページ読み込んだらパスワードが書いてあったみたいな、なんかとんち的な問題だったからこれもそういう感じだったりして
- 299 :名無しは激怒した:2022/05/28(土) 01:04:53.81 ID:kdVp5hmu
- 草
- 300 :名無し様:2022/05/28(土) 01:16:08.31 ID:kdVp5hmu
- >>292
これCSRF攻撃対策になるのな
被害者のセッションがログイン済みじゃないとリクエスト強要は成り立たないもんな
確認画面挟んだりするのは露骨に設計書と違うからあんま好かんしめんどくさいしな
- 301 :匿名希望名無しさん:2022/05/28(土) 14:35:21.92 ID:0RrNu1xx
- POSTリクエストでもURLにパラメータを含められる
JavaServletは一緒くたにパラメータとして読み込む
重複した場合は配列として読み込めるけども、シンプルにgetParameterとしたらURLに記載した方が優先されるのか
ほんならPOST送信するフォームのリンクにパラメータ載せて対象に踏ませたら、リンク先で送信する内容を限定できるな
対策はできるけどネットの人気投票とかで使えそう
- 302 :焼き鳥いかが?名無しさん:2022/05/28(土) 14:36:02.74 ID:0RrNu1xx
- 推しに投票したつもりが知らんやつに票が入ってたみたいな
- 303 :名無しより悪意をこめて:2022/05/28(土) 14:38:39.69 ID:0RrNu1xx
- 俺はGETリクエストの時に不要なパラメータ乗ってたらリダイレクトさせるようにしたから
上記のやつは効かないけど
POSTの方でもそうするか迷うなあ
186KB