Hatena::Groupbook100

もくもくと技術書をメモする日記

2011-02-13

Lesson7.セキュリティを確保するための仕組み

| 07:24

  • SQLインジェクション
    • 対策1:入力値のチェック
    • 対策2:プリペアードステートメント
      • 文字列連結でSQLを組み立てるのではなく、where句など条件によって変化する部分をプレースホルダとして登録したSQLを事前に用意しておき、あとからパラメータを割り当てる方法。もともと、プリペアード・ステートメントは時間のかかるSQLの構造や条件の解釈を先に済ましてしまい、プレースホルダの部分を後から差し替えられるようにすることで、データベースアクセスの性能を向上させるための仕組み。文字列結合と異なる点は、SQLの解釈を先に実行してしまう為、条件の追加など構造の変更が後から行えないこと。これがSQLインジェクションの防止に役立つ。

2011-02-12

Lesson6.Webアプリケーションを効率よく開発するための仕組み

| 04:13

6.1 サーブレットJSPだけではいけないのか

6.2 サーブレットJSPで「ピザペントミノ」のログイン処理を実現する

_セッションスコープリクエストスコープ
有効範囲セッションを開始してから、終了するか、タイムアウトまでリクエストを受けてからレスポンスを返すまで
開始と終了WEBアプリケーションが制御アプリケーションサーバが制御
主な使い方ユーザ情報の保持ページ遷移前後での情報保持

6.3 Webアプリケーションアーキテクチャ

6.4 フレームワークによるアーキテクチャの実現

6.5 レイヤパターンによるデータアクセス層の分離

JDBCによるデータベースからの情報の取得
レイヤパターンによるデータアクセス層の分離

6.6 O/Rマッピングフレームワークによるデータアクセス層の実現

O/Rマッピングフレームワークの必要性

RDBオブジェクトインピーダンス・ミスマッチ