端くれプログラマの備忘録 – ページ 65 – 最近はウェブ系アプリ中心、あとWindowsアプリちょっと

[PHP] メールフォームのメールヘッダインジェクション対策

2015年11月27日2015年12月31日 @84kure

メールフォームのセキュリティについて、メールヘッダインジェクション対策に関する覚え書き。

メールヘッダインジェクションとは

フォーム入力値によって意図しないメール送信を許してしまう脆弱性。フォーム入力値を使ってメールヘッダを生成している場合に起こる。

メールヘッダ・インジェクション脆弱性: ぷ～ろぐ
http://into.cocolog-nifty.com/pulog/2014/01/post-ee98.html

メールヘッダインジェクション対策

メールヘッダの生成にフォーム入力値を使わなければ良い。それができない場合には、メールヘッダ生成に使われるフォーム入力値に改行コードを許さないようにすること。改行コードが含まれていた場合には改行コードを削除する、あるいは処理を中止するなど。

メールヘッダインジェクション | PHPの入門・リファレンス
http://phpcode.jp/c7_mail.php

[PHP] メールフォームのCSRF対策

2015年11月26日2015年12月31日 @84kure

メールフォームのセキュリティについて、CSRF対策に関する覚え書き。

CSRF (Cross Site Request Forgeries) とは

超簡単に言うと「自サイトのフォームを他サイトからキックされる」こと。これを許すと悪用されるリスクが高まる。CSRFの詳細については以下サイトなど参照。

IPA ISEC　セキュア・プログラミング講座：Webアプリケーション編　第4章セッション対策：リクエスト強要（CSRF）対策
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/301.html

CSRF対策

CSRF対策の基本は、「サーバーがフォームのサブミットを受信したとき、それが自分が生成したフォームからのモノであるかどうかを確認する」こと。具体的には、自分がフォームを生成するときにはトークンを埋め込んでおき、フォームを受信したときにそのトークンが存在するかどうかを確かめればよい。

トークンにはセッションIDが使われることがある。

メールフォームのセッションID(トークン)によるセキュリティ | メサイア・ワークス
http://www.messiahworks.com/archives/2559

しかし、セッションIDの安全性が担保できないという議論もある。

CSRF の安全なトークンの作成方法 | Webセキュリティの小部屋
http://www.websec-room.com/2013/03/05/431

CSRF の安全なトークンの作成方法(PHP編) | Webセキュリティの小部屋
http://www.websec-room.com/2013/03/05/443

擬似乱数によるトークンを使ったサンプルは以下。

PHP – とっても簡単なCSRF対策 – Qiita
http://qiita.com/mpyw/items/8f8989f8575159ce95fc

以下ページにもトークンの安全性に関するコメントがある。

PHPでクロスサイトリクエストフォージェリ（CSRF）対策するときのメモ – Qiita
http://qiita.com/yoh-nak/items/c264d29eb25f4df7f19e

[jQuery] フォームの最初の項目にフォーカスを与える

2015年11月25日2015年12月31日 @84kure

フォームを埋め込んだページがロードされたときには、フォームの最初の入力項目を自動でフォーカスするようにしておきたい。そうしておくことで、ユーザは入力欄をマウスで選択したりせずに、すぐにキーボードからタイピングを始められる。こういう小さな気配りが、サイトの利便性を向上させるためには重要だよね。

で、これをどうやるかだけど、jQueryのセレクタを以下のように使えば簡単。

$('input:visible').eq(0).focus();

1	$('input:visible').eq(0).focus();

ソースは以下参考サイト。

参考サイト

jQueryでページ内に最初に現れるinputタグにフォーカスを当てたい場合(ただし、hiddenタグは除く) – Qiita
http://qiita.com/knt45/items/0ef8c9eb99192a1cb9cd

[jQuery] フォームをバリデーションするプラグイン

2015年11月24日2015年12月31日 @84kure

こういうものは自前で実装するより、優れた有りモノを使うべきだろうな。ということで検索してみたけど、沢山ありすぎてどれを選べば良いのか迷う。だけど、プロジェクトがGitHubで運用されていれば、開発履歴にざっくり目を通すことで活況を想像することができるかもね。

といった感じで、目先の案件用に選んだプラグインがコレ。

posabsolute/jQuery-Validation-Engine · GitHub
https://github.com/posabsolute/jQuery-Validation-Engine

日本語の紹介記事もあったのでリンク。

jQuery-Validation-Engineで簡単にフォーム内容をチェック！ – 北海道苫小牧市のホームページ制作　STUDIO KEY
http://studio-key.com/1139.html

[Webサイト制作] プレースホルダー用画像を提供してくれるウェブサービス

2015年11月23日2015年12月28日 @84kure

プレースホルダとは

プレースホルダとは｜placeholder – 意味/解説/説明/定義： IT用語辞典
http://e-words.jp/w/%E3%83%97%E3%83%AC%E3%83%BC%E3%82%B9%E3%83%9B%E3%83%AB%E3%83%80.html

プレースホルダとは、実際の内容を後から挿入するために、とりあえず仮に確保した場所のこと。また、そのことを示す標識などのこと。

文書の編集などで、あるページに写真を掲載することは決まっているが、実際の画像データは後で手に入るような場合に、とりあえず四角い空白領域を作り「ここに写真Aを貼る」などとメモを記すことがある。この空白をその写真のプレースホルダであるという。文書やコンテンツの雛形（テンプレート）では、タイトルや文章、画像など個々の要素が入る予定の位置や、その識別名のことをプレースホルダという。

プログラミングでは、式や命令文などの一部にユーザの入力値など実行時に外部から与えられる要素を反映させるような場合に、それが入る予定の場所（や、そのことを示す特殊な記号や識別子など）のことをプレースホルダという。

プレースホルダー用画像を提供してくれるウェブサービス

Placehold.it – Quick and simple image placeholders
http://placehold.it/

無地の画像を表示できる。画像にはサイズも併せて表示される。

lorempixel – placeholder images for every case
http://lorempixel.com/

実際の画像を表示できる。サイズに加えて、人や動物など画像のテーマも選択可能。実際の画像を返してくる分、レスポンスはちょっと遅く感じる。

[PHP] 配列関数range()の使い方

2015年11月22日2015年12月29日 @84kure

PHPにrange()という関数があるのを知らなかった。使い方によっては forループ同等の挙動をさせたり、文字シーケンスを操作することができそう。

PHP: range – Manual
http://php.net/manual/ja/function.range.php

使用例

<?php
// array(0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12)
foreach (range(0, 12) as $number) {
    echo $number;
}

// step 引数は
// array(0, 10, 20, 30, 40, 50, 60, 70, 80, 90, 100)
foreach (range(0, 100, 10) as $number) {
    echo $number;
}

// 文字列シーケンス
// array('a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i');
foreach (range('a', 'i') as $letter) {
    echo $letter;
}
// array('c', 'b', 'a');
foreach (range('c', 'a') as $letter) {
    echo $letter;
}
?>

<?php

// array(0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12)

foreach (range(0, 12) as $number) {

echo $number;

}

// step 引数は

// array(0, 10, 20, 30, 40, 50, 60, 70, 80, 90, 100)

foreach (range(0, 100, 10) as $number) {

echo $number;

}

// 文字列シーケンス

// array('a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i');

foreach (range('a', 'i') as $letter) {

echo $letter;

}

// array('c', 'b', 'a');

foreach (range('c', 'a') as $letter) {

echo $letter;

}

[Laravel] モデルファクトリを定義してテストデータを作成する

2015年11月21日2015年12月27日 @84kure

Seeder内にFakerとループを使ってテストデータの生成処理を書く代わりに、テストデータを作成するモデルファクトリを定義し、Seederからモデルファクトリを利用することでSeedingを行う方法もある。

1. database/factories/ModelFactory.phpにファクトリを定義する

$factory->define(App\User::class, function (Faker\Generator $faker) {
    return [
        'name' => $faker->name,
        'email' => $faker->email,
        'password' => bcrypt(str_random(10)),
        'remember_token' => str_random(10),
    ];
});

$factory->define(App\User::class, function (Faker\Generator $faker) {

return [

'name' => $faker->name,

'email' => $faker->email,

'password' => bcrypt(str_random(10)),

'remember_token' => str_random(10),

];

});

Testing – Laravel – The PHP Framework For Web Artisans
https://laravel.com/docs/5.2/testing#model-factories

2. Seeder内でモデルファクトリを使う

public function run()
{
    factory(App\User::class, 50)->create()->each(function($u) {
        $u->posts()->save(factory(App\Post::class)->make());
    });
}

public function run()

{

factory(App\User::class, 50)->create()->each(function($u) {

$u->posts()->save(factory(App\Post::class)->make());

});

}

Database: Seeding – Laravel – The PHP Framework For Web Artisans
https://laravel.com/docs/5.2/seeding#using-model-factories

[Laravel] SeedingにFakerライブラリを使う

2015年11月20日2015年12月28日 @84kure

先日試したFakerというPHPライブラリだけど、Laravelには標準で含まれているらしい。FakerデータをSeedingするのに役立ちそう。

使用例

use DB;
use Illuminate\Database\Seeder;
use Illuminate\Database\Eloquent\Model;

use Faker\Factory as Faker;

class DatabaseSeeder extends Seeder
{
    /**
     * Run the database seeds.
     *
     * @return void
     */
    public function run()
    {
        $faker = Faker::create();
        foreach (range(1,10) as $index) {
            DB::table('users')->insert([
                'name' => $faker->name,
                'email' => $faker->email,
                'password' => bcrypt('secret'),
            ]);
        }
    }
}

use DB;

use Illuminate\Database\Seeder;

use Illuminate\Database\Eloquent\Model;

use Faker\Factory as Faker;

class DatabaseSeeder extends Seeder

{

/**

* Run the database seeds.

* @return void

public function run()

{

$faker = Faker::create();

foreach (range(1,10) as $index) {

DB::table('users')->insert([

'name' => $faker->name,

'email' => $faker->email,

'password' => bcrypt('secret'),

]);

}

参考サイト

Generating fake Seeds data with Faker package – Laravel Daily
http://laraveldaily.com/generating-fake-seeds-data-with-faker-package/

[Laravel] Seedingの基本手順

2015年11月19日2015年12月24日 @84kure

1. Seederを作成する。

$ php artisan make:seeder PostTableSeeder

1	$ php artisan make:seeder PostTableSeeder

/database/seeds/PostTableSeeder.phpが作成される。

2. Seederを実装する。

class PostTableSeeder extends Seeder
{
    public function run() {
        DB::table('posts')->insert([
            'title' => str_random(10),
            'body' => 'Lorem ipsum dolor sit amet, consectetur adipisicing elit',
        ]);
    }
}

class PostTableSeeder extends Seeder

{

public function run() {

DB::table('posts')->insert([

'title' => str_random(10),

'body' => 'Lorem ipsum dolor sit amet, consectetur adipisicing elit',

]);

}

3. 作成したSeederをDatabaseSeederから呼ぶ。

class DatabaseSeeder extends Seeder
{
    public function run() {
        Model::unguard();

        $this->call(PostTableSeeder::class);
        $this->command->info('Post table seeded');

        Model::reguard();
    }
}

class DatabaseSeeder extends Seeder

{

public function run() {

Model::unguard();

$this->call(PostTableSeeder::class);

$this->command->info('Post table seeded');

Model::reguard();

}

実行

DatabaseSeederを実行するには

php artisan db:seed

1	php artisan db:seed

Seederを指定して実行するには

php artisan db:seed --class=PostTableSeeder

1	php artisan db:seed --class=PostTableSeeder

マイグレーションと同時実行するには

php artisan migrate:refresh --seed

1	php artisan migrate:refresh --seed

参考サイト

Database: Seeding – Laravel – The PHP Framework For Web Artisans
https://laravel.com/docs/5.2/seeding

[PHP] Faker – テストに役立つフェイクなデータを生成するライブラリ

2015年11月18日2015年12月24日 @84kure

フェイクデータを生成するPHPライブラリ。PHP 5.3.3以降。

fzaninotto/Faker · GitHub
https://github.com/fzaninotto/Faker

インストール

composer require fzaninotto/faker

1	composer require fzaninotto/faker

サンプル

require_once '/path/to/Faker/src/autoload.php';
$faker = Faker\Factory::create();

echo $faker->name;
// Lucy Cechtelar
echo $faker->address;
// 426 Jordy Lodge
// Cartwrightshire, SC 88120-6700
echo $faker->text;
// Dolores sit sint laboriosam dolorem culpa et autem. Beatae nam sunt fugit
// et sit et mollitia sed.
// Fuga deserunt tempora facere magni omnis. Omnis quia temporibus laudantium
// sit minima sint.

require_once '/path/to/Faker/src/autoload.php';

$faker = Faker\Factory::create();

echo $faker->name;

// Lucy Cechtelar

echo $faker->address;

// 426 Jordy Lodge

// Cartwrightshire, SC 88120-6700

echo $faker->text;

// Dolores sit sint laboriosam dolorem culpa et autem. Beatae nam sunt fugit

// et sit et mollitia sed.

// Fuga deserunt tempora facere magni omnis. Omnis quia temporibus laudantium

// sit minima sint.

アクセサが値を更新するので、下のようにプロパティにアクセスするたびに異なる内容が得られる。

for ($i=0; $i < 10; $i++) {
    echo $faker->name, "\n";
}

for ($i=0; $i < 10; $i++) {

echo $faker->name, "\n";

}

createの引数にja_JPを指定すると日本語のデータが得られる。だけど、プロパティが呼ばれるたびに内容が変わってしまうので、１つの名前を漢字、カナ姓名、カナ姓、カナ名と異なる書式で取得することはできなさそう。

$faker = Faker\Factory::create('ja_JP');

echo $faker->name;
// 小林 裕樹
echo $faker->kanaName;
// スズキ マアヤ
echo $faker->firstKanaName;
// アキラ
echo $faker->lastKanaName;
// キジマ

$faker = Faker\Factory::create('ja_JP');

echo $faker->name;

// 小林裕樹

echo $faker->kanaName;

// スズキマアヤ

echo $faker->firstKanaName;

// アキラ

echo $faker->lastKanaName;

// キジマ