K.Maebashi's BBS
ご自由に書き込んでください。雑談も可。
テスト書き込みの類はテスト用掲示板にどうぞ
[日付順表示]
[日付順インデックス]
[スレッド順インデックス]
新規投稿 |
開設者ホームページへ戻る |
ヘルプ
[2327]
Re:入力時のバリデーションについて
投稿者:mhash
2022/11/03 14:18:41
Link:
返信が大変遅れまして申し訳ありません。
丁寧にご回答頂きましてありがとうございます。
>まず、「入力時のサニタイズ」と「入力時のバリデーション」は違う話ですよね。
>リンク先の記事を書いている大垣さんも、「入力時のサニタイズ」は擁護していないと
>思います。
そうですよね。勝手に改変したものをそのまま後に渡しているのは。
>「入力時のバリデーション」は、変な入力は入力の時点でエラーにして後ろに流さない
>わけですが、これは別段セキュリティ関係なく、ユーザの入力ミスに備えてやるべき
>ことですし、その要件はアプリケーションの仕様に依存します。
>もちろん、電話番号欄にシングルクォートとか入力されたらエラーにすればよいですし、
>そうすることが結果的にセキュリティに資することもあると思います。
入力時のバリデーションはあくまでも「仕様の問題」ということですね。
>入力時バリデーションは、
>・そもそも要件としてバリデーションできないケースが(かなり)ある。
>・入力から、DBとか、再度画面に表示されるところまでには、プログラム的に
> 長い経路があり、「セキュリティのために」狙ってバリデーションするのは
> 実際には困難。
>
>という問題があります。そこで、入力時バリデーションはセキュリティ対策としては
>「あてにできる」ものではない、と私は思います。
入力時バリデーションがセキュリティに有効なこともあるのはあくまで結果論ということですね。
投稿者:mhash
2022/10/30 08:34:03
Link:
kmaebashiさんが『「サニタイズ言うなキャンペーン」について、私の解釈』や、著書でも述べられている、「SQLやHTML等で特別な意味を持つ文字列のエスケープは、入力時ではなくそれが外部に出力される直前に行うべき」という主張は納得できるものだと私も思います。
ただ、以下リンク先のページを見ると、CWE-20等の国際的なセキュリティ標準でも入力時のチェックを奨励しているように思えまして、ちょっと混乱しています。
https://gihyo.jp/dev/serial/01/php-security/0045
「ユーザーからの入力はどんな文字列でも扱えるべきだが、システム内の各階層では、メソッドの引数チェックなりをしっかりやるように」との意味合いなのでしょうか?
[2323]
Re:【雑談】JavaScriptの「オブジェクト指向」はやわかり
投稿者:(ぱ)こと管理人
2022/10/15 11:34:06
Link:
>読みました。
読んでいただきありがとうございます。
>この参照値という言葉は初出な気がするのですが、
以下のページで出ています。
http://kmaebashi.com/programmer/beginner/javascriptintro.html
http://kmaebashi.com/programmer/beginner/array.html
検索経由とかでこのページから読み始める人もいるかもしれませんが、
>JavaScriptでは、オブジェクトは参照経由でアクセスします。
>関数もオブジェクトですから、参照で扱います。ここでは、alertとmyAlertは、
>どちらも同じ関数オブジェクトを「指して」います。
>つまり、alertやmyAlertが保持しているのは関数そのものに対する参照値です。
と書いていて、図も入れてあって「オブジェクトは参照経由でアクセスします」の
ところはリンクにもしてありますから、よっぽど大丈夫なんじゃないかと思っています。
ご意見ありがとうございました。
(参照周りは、「参照渡し」とかでググると絶望するほどに誤解の多いところでは
あるので、くどいぐらいに書いておいた方がよいのかもしれませんが)
[2322]
【雑談】JavaScriptの「オブジェクト指向」はやわかり
投稿者:rike1019
2022/10/14 10:06:40
Link:
https://github.com/rike1019
読みました。
> そして、JavaScriptの関数がオブジェクトであるということは、
> 通常のオブジェクトと同じように、
> その参照値を変数に代入したり、関数の引数にしたり、
> 関数から戻り値として返したりできるということです
この参照値という言葉は初出な気がするのですが、
私はJavaを少しかじったのでプリミティブ型と参照型があるんだなー
となんとなくわかるのですが、
はじめてのプログラミングの方は「参照って何?」と思うかもしれません。
他のページで解説されている箇所があったらすみません。
投稿者:(ぱ)こと管理人
2022/09/30 01:04:31
Link:
>コンパイルエラーは警告ではなくエラーなので修正したほうがいいと思います。
ご指摘ありがとうございます。上の行をコピペしてそのままにしてしまいました。
修正しました。
投稿者:吉野刹那
2022/09/27 18:35:59
Link:
>>2311
変な書き込みをしてしまいすみません。
[2318]
Re:衝突判定と爆発のナビゲーションリンクについて
投稿者:(ぱ)こと管理人
2022/09/27 01:35:22
Link:
ご指摘ありがとうございます。
>* 10進数の20は16進数で14で文字はDC4
>* 10進数の32は16進数で20で文字はSP
> 前のページ | 前のページ | ひとつ上のページに戻る | トップページに戻る
上記2点とも修正しました。
また何かありましたらよろしくお願いいたします。
[2316]
「文字コード」とは何か?ASCIIコードの説明について
投稿者:rike1019
2022/09/26 01:39:47
Link:
https://github.com/rike1019
表1: ASCIIコード表を見ながら文章を読んでいましたが混乱したところがあります。
>今ではほとんど使われないものが大多数ですが、
>9のHTはHorizontal Tabulation――水平タブ、
>要するにTABキーを押すと挿入されるタブのことですし、
>10と13のLF, CRは改行コードとして使われています。
>また、20のSPは、空白を意味しています。
この9と10と13は10進数の数値の欄を指していますが、20のSPは16進数の数値の欄を指しています。混乱します。どちらかに統一したほうがいいと思います。
* 10進数の20は16進数で14で文字はDC4
* 10進数の32は16進数で20で文字はSP
修正したほうがよろしいかと思いますがいかがでしょうか。
[2315]
Re:UFOを飛ばそうの部分についての質問
投稿者:(ぱ)こと管理人
2022/09/25 23:15:45
Link:
>リスト9: lesson04_5.html(UFOを動かすことに成功)
>の20行目で、mainLoop();を呼んでいますが、まだ関数を定義する前の行です。
>なぜ、JavaScriptでこれはエラーにならないのでしょうか?
これは、JavaScriptの「巻き上げ」(hoisting)と呼ばれる機能のおかげです。
https://developer.mozilla.org/ja/docs/Glossary/Hoisting
JavaScriptがなぜこうしたのかといえば、単純に「その方が便利だと思ったから」
なのだと思います。たとえばJavaではメソッドの宣言順は動作に影響せず、
宣言前のメソッドも呼び出せます。もっと古い言語であるCでは、巻数は事前に
定義されていなければ呼び出せず、関数funcAがfuncBを呼び出し、
funcBがfuncAを呼び出すような相互呼び出しをやりたいときには、どちらか片方を
事前に「プロトタイプ宣言」しておく必要がありました(不便です)。
Cで不便だと思われていて、Javaでは改善されたわけですから、Javaに似せた言語である
JavaScriptでは、それはJavaに合わせるでしょう。
もっとも、さすがは変態言語というか、JavaScriptでは「巻き上げ」が
関数だけでなく変数に対しても、しかも関数内の変数に対しても適用されるので、
いろいろ混乱の元になっています。
https://analogic.jp/hoisting/
>私は「完全」初心者ではないのですが、python3では、
>mainloop()
>def mainloop():
> print("Hello, world!")
>と書くと「NameError: name 'mainloop' is not defined」とエラーが出ます。
pythonではなぜ関数を先に定義しておく必要があるかといえば、pythonでは
関数定義のdefは通常の実行文であり、それが実行されて初めて関数が定義されるからです
(逆に言うと、JavaScriptやJavaやCでは、関数定義は実行文ではありません)。
pythonのdefは単なる文なので、たとえばif文の中でdefができます。
a = 10;
if a == 10:
def func():
print("hoge")
else:
def func():
print("piyo")
func()
このコードは、最初にaに代入する値によって、funcの定義が変わります。
CやJavaのような言語では、こういうことはできません。CやJavaでは、関数定義は、
コンパイルの時点で決まります。
JavaScriptはJavaに似せた言語なので、これを引き継いだのだと思います。
ではJavaScriptではif文の中にfunctionは書けないのか、といえば、これがどうも
書けるようで、でも「結果は実装によって一貫性がない」そうです。さすがは変態言語。
https://developer.mozilla.org/ja/docs/Web/JavaScript/Reference/Statements/function
| 関数は条件付きで宣言できます。つまり、関数文を if 文の中に入れ子にすることができますが、
| 結果は実装によって一貫性がないので、このパターンを本番コードでは使用すべきではありません。
| 条件付きの関数の作成には、代わりに関数式を使用してください。
私自身、CやJavaのプログラマなので、自分で言語を作ったときには、
型なし言語のcrowbarも、静的型付け言語のDiksamも、関数定義を実行文にはしませんでした。
http://kmaebashi.com/programmer/devlang/index.html
なので、JavaScriptの関数定義については、このようにした気持ちはわかります。
変数定義まで(それもローカル変数まで)同じように巻き上げられるようにしたのは、
正直、理解不能ですが。
[2314]
UFOを飛ばそうの部分についての質問
投稿者:rike1019
2022/09/25 20:01:07
Link:
https://github.com/rike1019
リスト9: lesson04_5.html(UFOを動かすことに成功)
の20行目で、mainLoop();を呼んでいますが、まだ関数を定義する前の行です。
なぜ、JavaScriptでこれはエラーにならないのでしょうか?
私は「完全」初心者ではないのですが、python3では、
mainloop()
def mainloop():
print("Hello, world!")
と書くと「NameError: name 'mainloop' is not defined」とエラーが出ます。
[2313]
Re:【雑談】完全初心者のためのプログラミング入門の対象読者について
投稿者:(ぱ)こと管理人
2022/09/25 14:41:37
Link:
>「完全初心者のためのプログラミング入門」を楽しく読まさせていただきました。
読んでいただきありがとうございます。
>Windows前提なのが、まず今の子供達持ってるのかな?と思いました。
確かにそれは私も不安に思っているところです。
>GIGAスクール構想で配られてるのがiPadだったりChromebookだったりして
>Windows搭載のPCを配ってても開発ツールとか入れられないように
>セキュリティガチガチにしてるっぽいですし
>まず個人で自由に使えるパソコンを持ってる子供が
>少ないんじゃないかな?と思いました。
そのあたりの事情は私は詳しくないのですが、Windows PCを配っていて
セキュリティガチガチにされていたとしても、ローカルにHTMLを置いて
ダブルクリックしたらEdgeが立ち上がるんじゃないでしょうか。
それも禁止されているのでしょうか。
Chromebookも持ってないのですが、エディタでHTML書いてダブルクリックして
開く、ということはできるようなので、適宜読みかえていただければと思います
(子供にそれは難しいかもしれませんが、私が持ってない以上解説も書けませんし)。
>GIGAスクールで配られてるものってスペック低い上に、
>日本はハイエンドスマホのiPhoneの普及率が高いので
だからといってiOSアプリを作るとなるとハードルが極端に上がりますからね
(AndroidはともかくiOSとなると、私だって作れない。Macを買う気も
Appleにお金を払う気もないので)。
スマホはさておきパソコンでさえあれば、MacでもChromebookでも
HTMLは書けるでしょうから、「ファイルとフォルダ」、「Webページを作ろう」の章より
後ろのJavaScriptを書き始めたあたりからを参考にしてもらえれば、と思います。
[2312]
【雑談】完全初心者のためのプログラミング入門の対象読者について
投稿者:rike1019
2022/09/25 13:14:48
Link:
https://github.com/rike1019
「完全初心者のためのプログラミング入門」を楽しく読まさせていただきました。
Windows前提なのが、まず今の子供達持ってるのかな?と思いました。
GIGAスクール構想で配られてるのがiPadだったりChromebookだったりして
Windows搭載のPCを配ってても開発ツールとか入れられないように
セキュリティガチガチにしてるっぽいですし
まず個人で自由に使えるパソコンを持ってる子供が
少ないんじゃないかな?と思いました。
西村博之(ひろゆき)がそれを危惧して
ゲームもできるパソコンを児童養護施設に配る企画やってましたけど。
GIGAスクールで配られてるものってスペック低い上に、
日本はハイエンドスマホのiPhoneの普及率が高いので
「パソコンってなんか遅いし持ち運ぶのにも重いしスマホ(iPhone)でいいや」
ってならないかと心配です。
投稿者:吉野刹那
2022/09/21 15:31:47
Link:
こんにちは。
[2309]
Re:Tomcat 10のパッケージ名の変更について
投稿者:(ぱ)こと管理人
2022/09/21 01:39:18
Link:
>https://qiita.com/nfujita55a/items/b335688ea2a696387deb
>
>このQiita記事に載っていたのですがTomcat10だと
>以前以下のように書いていたインポート元を
>
>import javax.servlet.*
>
>以下のように書き換えないとコンパイルエラーになるようです。
ご連絡いただきありがとうございます。これはなかなか大きな変更ですね。
週末あたりに、Webページに注記を入れようかと思います。
ありがとうございました。
[2308]
Tomcat 10のパッケージ名の変更について
投稿者:rike1019
2022/09/19 15:29:17
Link:
https://qiita.com/nfujita55a/items/b335688ea2a696387deb
このQiita記事に載っていたのですがTomcat10だと
以前以下のように書いていたインポート元を
import javax.servlet.*
以下のように書き換えないとコンパイルエラーになるようです。
import jakarta.servlet.*
JavaとTomcatの環境構築でハマったので報告しておきます。
ウェブ上のほとんどのJava解説記事がjavax.servletと書いているので
何が悪いのかさっぱりわからず困りましたが単純な変更でした。
[2307]
Re:『Webサーバを作りながら学ぶ〜』のコンパイルについて
投稿者:(ぱ)こと管理人
2022/08/28 00:25:52
Link:
>OpenJDK 18でコンパイルしたところ、以下のメッセージが表示されました。
>ソースコードが古いAPIを使っているようです。
ご連絡ありがとうございます。私の方でも再現しました。
C:\maebashi\temp\src_20181021\src\appendix\Henacat_0_4>javac -encoding SHIFT_JIS -Xlint:deprecation com\kmaebashi\henacat\webserver\Main.java
.\com\kmaebashi\henacat\servletimpl\ServletService.java:12: 警告:[deprecation] ClassのnewInstance()は推奨されません
return (HttpServlet)clazz.newInstance();
^
Tが型変数の場合:
クラス Classで宣言されているT extends Object
警告1個
Java9からClass#newInstance()がdeprecatedになっているのですね
(執筆時はJava8だったので気付いていませんでした)。
https://qiita.com/deaf_tadashi/items/3c3118e660861fb43434
Webページに案内を入れる等、なんらかの形で対応いたします。ありがとうございました。
[2306]
『Webサーバを作りながら学ぶ〜』のコンパイルについて
投稿者:rike1019
2022/08/27 19:10:56
Link:
OpenJDK 18でコンパイルしたところ、以下のメッセージが表示されました。
ソースコードが古いAPIを使っているようです。
以下コマンドプロンプトからコピーしたものです。
F:\Programming\src\appendix\Henacat_0_4>javac -encoding SHIFT_JIS
F:\Programming\src\appendix\Henacat_0_4\com\kmaebashi\henacat\webserver\Main.java
ノート:.\com\kmaebashi\henacat\servletimpl\ServletService.javaは
推奨されないAPIを使用またはオーバーライドしています。
ノート:詳細は、-Xlint:deprecationオプションを指定して再コンパイルしてください。
[2305]
Re:offsetofの定義について
投稿者:mhash
2022/07/10 19:13:03
Link:
>>https://www.wdic.org/w/TECH/offsetof
>>上記リンク先のページにあるように、Cのoffsetofマクロを
>>#define offsetof(TYPE, MEMBER) ((size_t) &((TYPE *)0)->MEMBER)
>>という形式で実装している処理系は多いかと思います。そして、TYPE構造体の先頭部分の
>>アドレスを0番地とすれば、MEMBERへのオフセットが取得出来ることも理解できます。
>>しかし、『ポインタ完全制覇』でも触れられていた通り、0という定数は、ポインタ型とし
>>て扱われる文脈ではNULLになるはずです。このマクロはNULL参照を行ったとしてクラッシュ
>>を引き起こさないのでしょうか?
>
>ご質問は、ヌルポインタから->MEMBERの形で指す先を参照した時点で落ちるのでは、
>ということですよね。
>これについてはJIS X 3010:2003であれば「6.6 定数式」のところに、「アドレス定数」として
>以下の記述があります。
>
>| アドレス定数(address constant)は,空ポインタ,静的記憶域期間のオブジェクトを
>| 指し示す左辺値を指すポインタ又は関数指示子を指すポインタとする。
>| アドレス定数は,単項&演算子若しくは整数定数のポインタ型へのキャストによって
>| 明示的に生成されるか,又は配列型若しくは関数型の式の使用によって
>| 暗黙に生成されたものでなければならない。配列添字演算子[],メンバアクセス演算子.
>| 及び->,アドレス単項演算子&,間接単項演算子*,並びにポインタへのキャストは,
>| アドレス定数の生成に使用してもよいが,これらの演算子を使用することによって
>| オブジェクトの値をアクセスしてはならない。
>
>空ポインタから->とか&で「アドレス定数」を生成するのはよいが、その先を参照しては
>いけない、と書いてあるように読めます。
>このoffsetofの定義は、これに合致しているのではないでしょうか。
>
ご返信遅くなり申し訳ありません。
空ポインタからアドレス型の定数を生成するのは大丈夫だから、それを有効なアドレス空間内でポインタ演算して、その先を参照するのはOKということですよね?
ご回答ありがとうございました。
[2304]
Re:offsetofの定義について
投稿者:(ぱ)こと管理人
2022/06/29 23:32:51
Link:
>https://www.wdic.org/w/TECH/offsetof
>上記リンク先のページにあるように、Cのoffsetofマクロを
>#define offsetof(TYPE, MEMBER) ((size_t) &((TYPE *)0)->MEMBER)
>という形式で実装している処理系は多いかと思います。そして、TYPE構造体の先頭部分の
>アドレスを0番地とすれば、MEMBERへのオフセットが取得出来ることも理解できます。
>しかし、『ポインタ完全制覇』でも触れられていた通り、0という定数は、ポインタ型とし
>て扱われる文脈ではNULLになるはずです。このマクロはNULL参照を行ったとしてクラッシュ
>を引き起こさないのでしょうか?
ご質問は、ヌルポインタから->MEMBERの形で指す先を参照した時点で落ちるのでは、
ということですよね。
これについてはJIS X 3010:2003であれば「6.6 定数式」のところに、「アドレス定数」として
以下の記述があります。
| アドレス定数(address constant)は,空ポインタ,静的記憶域期間のオブジェクトを
| 指し示す左辺値を指すポインタ又は関数指示子を指すポインタとする。
| アドレス定数は,単項&演算子若しくは整数定数のポインタ型へのキャストによって
| 明示的に生成されるか,又は配列型若しくは関数型の式の使用によって
| 暗黙に生成されたものでなければならない。配列添字演算子[],メンバアクセス演算子.
| 及び->,アドレス単項演算子&,間接単項演算子*,並びにポインタへのキャストは,
| アドレス定数の生成に使用してもよいが,これらの演算子を使用することによって
| オブジェクトの値をアクセスしてはならない。
空ポインタから->とか&で「アドレス定数」を生成するのはよいが、その先を参照しては
いけない、と書いてあるように読めます。
このoffsetofの定義は、これに合致しているのではないでしょうか。
投稿者:mhash
2022/06/29 21:11:14
Link:
連投申し訳ありません。Cの標準ライブラリのoffsetofマクロについて質問させてください。
https://www.wdic.org/w/TECH/offsetof
上記リンク先のページにあるように、Cのoffsetofマクロを
#define offsetof(TYPE, MEMBER) ((size_t) &((TYPE *)0)->MEMBER)
という形式で実装している処理系は多いかと思います。そして、TYPE構造体の先頭部分のアドレスを0番地とすれば、MEMBERへのオフセットが取得出来ることも理解できます。
しかし、『ポインタ完全制覇』でも触れられていた通り、0という定数は、ポインタ型として扱われる文脈ではNULLになるはずです。このマクロはNULL参照を行ったとしてクラッシュを引き起こさないのでしょうか?
それとも、offsetofをこのように実装している処理系では何らかの特別な処理を入れているのでしょうか。
投稿者:mhash
2022/06/29 11:34:51
Link:
>>すみません、以前から気になっていたのですが、
>>トップページの「Contents」のサブコンテンツの「プログラマなページ」の項目一覧に
>>「プログラミング言語samplan」が記載されていません。
>
>うーん、ここには「プログラマなページ」以下にあるものすべてを載せている
>わけではないので、
>
>http://kmaebashi.com/programmer/index.html
>
>samplanのようなちょろっと書いたようなプログラムは記載しなくていいんじゃないかな、
>という判断でこうしています。
>
ご回答ありがとうございます。
確かに「プログラマなページ」以下の項目すべてを目次に載せているわけではなかったですね。失礼いたしました。
[2301]
Re:C言語とRustの関係について
投稿者:(ぱ)こと管理人
2022/06/28 23:48:08
Link:
>今後はRustを勉強していくべきだと思いますか?
WebAssemblyはともかくとして、今後のシステム記述言語がRustに置き換わっていくというのは
十分ありそうな話だと思います。さすがにC/C++は危ないので。
なので私もRustを勉強しようと思いつつ、ほぼ手が出せていない状態です……
投稿者:rike1019
2022/06/27 17:20:33
Link:
リーナスはLinuxカーネルの3000万行あるCコードを
Rustで書き直す気はないと言っていますが
第2言語としてRustを採用するらしいです。
今後はRustを勉強していくべきだと思いますか?
投稿者:(ぱ)こと管理人
2022/06/19 13:08:39
Link:
>すみません、以前から気になっていたのですが、
>トップページの「Contents」のサブコンテンツの「プログラマなページ」の項目一覧に
>「プログラミング言語samplan」が記載されていません。
うーん、ここには「プログラマなページ」以下にあるものすべてを載せている
わけではないので、
http://kmaebashi.com/programmer/index.html
samplanのようなちょろっと書いたようなプログラムは記載しなくていいんじゃないかな、
という判断でこうしています。
投稿者:mhash
2022/06/18 21:36:30
Link:
すみません、以前から気になっていたのですが、
トップページの「Contents」のサブコンテンツの「プログラマなページ」の項目一覧に「プログラミング言語samplan」が記載されていません。