Kazuho's Weblog: The JSON SQL Injection Vulnerability について。元記事をはっちゃめっちゃに要約すると

• SQL::Maker にユーザから受けとったデコード済み JSON をそのまま突っ込むと SQL インジェクションになる場合がある
• SQL::Maker 側でそういったことが起こらないように strict オプションをつけたから、できればそっち使え
• 別に SQL::Maker に限らないから気をつけろ

という話っぽい。本来であればユーザ入力をタイプチェックをすべきだけど、クエリビルダレベルでも、脆弱性にならないようにもうちょっと考慮してもいいよねという趣旨かな…

strict モードは非互換なので、既存のコードが動かなくなる可能性があるようです。

my $teng = My::DB->new({
    ...
    sql_builder_args => { strict => 1 }
});

my $teng = My::DB->new({
    ...
    sql_builder => SQL::Maker->new(driver => 'SQLite', strict => 1);
});

$teng->search('foo', { id => $id })

滅多にないことだと思うが、非常に大きな zip ファイルを動的に生成してダウンロードさせるみたいなことをしたいことがあるかもしれない。

Archive::Zip だとストリーム生成できないので、Archive::Zip::SimpleZip を使う。Archive::Zip::SimpleZip だとストリーム出力で file handle などに書き出せる。

これで一度ファイルに書いてから、そのファイルを sendfile 的にレスポンスしてもいいのだけれど、書いている間はクライアントからしてみれば完全に無反応になるので、場合によってはタイムアウトになってしまうことがある。そこでストリーム出力をそのままクライアントにストリームしたくなる。

簡単なコードにすると以下のようになった。Archive::Zip::SimpleZip にコールバックかオブジェクトを渡せたらいいが、渡せないようなので、文字列リファレンスをいちいちクリアしながら出力するキモいコードになっている。

#!plackup
use strict;
use warnings;

use Archive::Zip::SimpleZip qw($SimpleZipError :zip_method);

sub {
    my $env = shift;

    # Return streaming response
    sub {
        my $respond = shift;
        my $writer = $respond->([
            200,
            [
                'Content-Type' => 'application/zip',
                'Content-Disposition' => 'attachment; filename="dekai.zip"',
            ],
        ]);

        my $_buf = "";
        my $buf = \$_buf;
        my $zip = Archive::Zip::SimpleZip->new($buf, Stream => 1) or die "Failed to create zip file";

        for my $n (1..1000) {
            warn $n;
            $zip->addString("$n" x 100, Name => sprintf('%04d.txt', $n), Method => ZIP_CM_STORE) or die "SimpleZipError : $SimpleZipError";
            $writer->write($$buf); $$buf = "";
            select(undef, undef, undef, 0.01);
        }

        $zip->close or die "SimpleZipError : $SimpleZipError";

        $writer->write($$buf);
        $writer->close();
    };
}

よくわからなくて買えてない。なんかセオリー本みたいのないんだろうか。

原理的な知識より、現実的な回路を例にして、どんなときにどんなパターンで設計するか？というのが一通り書いてある本がほしい。定数の決めかた (数式) とか、その定数が結果にどれぐらい影響を及ぼして何とトレードオフにあるかとか。この回路のときは能動素子のこのパラメータに気をつけろとか。

複数の選択肢がある場合、何をどう計って設計を検討するかとか、そういうノウハウって絶対あると思うんだけどなあ。回路同士の選択肢もそうだけど、オペアンプとか死ぬほど種類があるわけで、選ぶのがつらい。

最近まで知らなくていちいちコピペして git merge foobarbranch とかやっていたが、

git checkout foobarbranch
.... なんか作業
git checkout master
git merge @{-1}

みたいに、@{-1} を使うと直前に触っていたブランチを示すことができ、これですぐに merge が実行できることを知った。

ngResource は $get してオブジェクトを変更して \$save を呼んだらサーバサイドに反映とかいうことができます。

1. データを $get などで取得した直後の状態、(サーバサイドで) 保存されている状態
2. 取得したリソースを変更した状態、(サーバサイドで) 未保存の状態
3. $save などで保存完了した状態、(サーバサイドで) 保存されている状態

とリソースの状態が変化します。

しかし、実際のアプリケーションでは、変更されたが更新されていない状態というのを表示したくなることが多々あります (変更があって未保存なら項目の色を変えるとか)。

なので、保存前の状態をどこかに保存して、保存されたらそれを更新するとかいう作業が必要になります。ただ、コントローラ側の ngResource のコールバックでいちいちこんなことしようとするとバグるので、ngResource の定義側でなんとかしたいところです。

var Entry = $resource('/api/entries', { id : '@id' }, {
    'query':  {
        method:'GET',
        isArray: true,
        transformResponse : function (data, headers) {
            data = angular.fromJson(data);
            data.saved = angular.copy(data);
            return data;
        }
    },
    'save':  {
        method:'POST',
        transformResponse : function (data, headers) {
            data = angular.fromJson(data);
            data.saved = angular.copy(data);
            return data;
        }
    }
});

// controller
$scope.entry = Entry.get({ id : 1 });
// $scope.entry.saved is original data

// template
<div ng-class="{ changed: entry.body != entry.saved.body }">
    <textarea ng-model="entry.body"></textarea>
</div>

WebAudio で ScriptProcessorNode とかを使ってちょっと変なことしようと思うと、波形が実際どうなっているのか見たくなったりするわけですが、うまいこと取得できなくてイライラするわけです。なのでトリガをかけて一定期間の波形を表示するのを作りました。

デバッグ用なので、UI 上には殆ど機能はなく、以下のようにコード上で設定を引数で渡す感じです。トリガはSimple, RaisingEdge, FallingEdge, DualEdge だけとりあえず実装してあります。実装すればチャンネル間の and トリガとかもできる感じの設計です。

WebAudioDebug.prove(context, merger, {
    bufferSize : 64e3,
    windowTime : 100e-3,
    highResolution : false,
    trigger : WebAudioDebug.OscilloscopeNode.Trigger.RaisingEdge({ triggerChannel: 0, width : 10, threshold : 0.5 }),
    continuous : false
});

作ってる途中でやる気が失せたので、特に highResolution: true (Retina 対応) にしたときパフォーマンスがめっちゃ劣化するけどそのままです。あと、繋げる段数が違ったノードを merge して渡すとズレたりするので、ちょっとめんどうくさい感じです。なんとかしたいけど、その前にやる気がなくなったのでそのうちやる気がでたらやるかもしれないです。

Perl の Locale::Maketext::Lexicon::Gettext は以下のような Gettext ライクなフォーマットを扱うが、同じようなことを JS でしたいとき

%1 さん、こんにちは
%quant(%1,user,users)

• %function() は任意の関数が呼べる感じなので、JS でもそのようにしておく。
• numf は実装してない。
• Locale.data= { ... } みたいなのが言語別に完全にわかれているのを想定してる

var Locale = {
    loc : function (msgid, arg) {
        var args = Array.prototype.slice.call(arguments, 0);
        var text = Locale.data[msgid];
        if (text) {
            if (/%/.test(text)) {
                text = text.replace(/%(\d)/g, function (_, n) {
                    return args[n];
                });
                text = text.replace(/%([a-z*#]+)\(([^\)]+)\)/g, function (_, func, args) {
                    if (func == '#') func = 'numf';
                    if (func == '*') func = 'quant';
                    args = args.split(/,/);
                    return Locale[func].apply(null, args);
                });
                return text;
            } else {
                return text;
            }
        } else {
            return msgid;
        }
    },

    quant : function (number, singular, plural, negative) {
        if (number == 0 && negative) { // no warnings
            return negative;
        } else
        if (number == 1) {
            return singular;
        } else
        if (plural) {
            return plural;
        } else {
            return singular + 's';
        }
    },

    numf : function (number) {
        return number; // XXX
    }
};