バリデーションとは、

データベースに保存する前に保存する内容を検証する機能です。

バリデーションを定義することによって、フォームの入力必須の欄が入力されていなかったときに、フォームの送信を出来ないようにすることが出来ます。

バリデーションのトリガ

• create

• create!

• save

• save!

• update

• update!

検証データが保存されない場合

saveとupdateは、falseが、

createは、オブジェクト自身を返します。

メソッド名の最後に！をつけると、

保存されなかった場合には例外処理を返します。

バリデーションのスキップ

バリデーションのスキップは、バリデーションを行わずスキップします。

• • decrement!

  • decrement_counter

  • increment!

  • increment_counter

  • toggle!

  • touch

  • update_all

  • update_attribute

  • update_column

  • update_columns

  • update_counters

   

しかし、saveにvalidate: falseを引数として与えると、saveのバリデーションをスキップできてしまうようなので注意が必要です。

valid? とinvalid?

valid?メソッドを使って、バリデーションを手動でトリガすることもできます。

オブジェクトにエラーが無いときにはtrueが返され、そうでなければfalseが返されます。

バリデーションヘルパー

バリデーションヘルパーは共通のバリデーションルールを提供します。

バリデーションが失敗すると、オブジェクトのerrorsコレクションにエラーメッセージが追加され、そのメッセージは、バリデーションが行われる属性に関連付けられます。

❏  :onオプション

どのヘルパーでも使用できます。

バリデーション実行のタイミングを設定することができます。

:onオプションは:createまたは:updateのいずれかの値を取ります。

 ❏ :messageオプション

どのヘルパーでも使用できます。

バリデーション失敗時にerrorsコレクションに追加するメッセージを指定することができます。このオプションが無いときは、デフォルトのメッセージが表示されます。

❏ acceptance

フォームが送信されたときに、ユーザーインターフェイス上のチェックボックスがオンになっているかどうかを検証するメソッドです。

サービス利用条項への同意が必要は場合によく使われます。

❏ confirmation

このヘルパーは、２つのテキストフィールドで受け取る内容が完全に一致する場合に使われます。

メールアドレスやパスワードが完全に一致するかの確認フィールドで使われます。

属性の名前は、確認したい属性名に「_confirmation」を追加します。

❏ length

このヘルパーは、属性の値の長さを検証します。 

class Person < ApplicationRecord
  validates :name, length: { minimum: 2 }
  validates :bio, length: { maximum: 500 }
  validates :password, length: { in: 6..20 }
  validates :registration_number, length: { is: 6 }
end

値の大小から文字数の制限まで指定することができます。

❏ numericality

このヘルパーは、属性に数字のみが使われているかを検証します。

デフォルトでは整数または浮動小数点にマッチします。

整数のみにマッチさせたい場合、:only_integerをtrueにします。

❏ presence

このヘルパーは指定された属性が空でないかを検証します。

内部ではblank?メソッドを使っています。

class Person < ApplicationRecord
  validates :name, :login, :email, presence: true
end

参考

Active Record バリデーション - Railsガイド

【Rails】Railsのバリデーションの使い方をマスターしよう！ | Pikawaka - ピカ1わかりやすいプログラミング用語サイト

攻撃者はありとあらゆる手法を使って、攻撃を仕掛けてきます。

今日はそれらの攻撃の種類を飽きるまでまとめてみたいと思います。

辞書攻撃（Dictionary Attack）

辞書攻撃とは、

辞書にのっている単語を次々と入力してパスワードの割り出しや暗号の解読に使われる方法のことです。

対策としては、

・人名や意味のあるパスワードを用いないこと

・記号や数字をランダムに組み合わせることが大事です。

 個人的に、ワンパスワードを使ってパスワード管理することをおすすめします。

総当り（ブルーフォース）攻撃

総当り攻撃とは、

英数字の組み合わせを一つずつ入力し不正アクセスを試みる攻撃です。

ブルーフォースの意味は、日本語で「強引な」とは「力ずく」という意味にあたります。

「なんだそれは、面倒くさいではないか！」という感じですが、

多くの場合プログラムされたコンピュータが行っているみたいです。

独立行政法人情報勝利推進機構が2008年に行った試験によると、

なんと英字4文字の場合、3秒で解読されるみたいです。

恐ろしやーといった感じです。

このデータはなかなか古いので、現在のパソコンだともっと速度速そうですね、、。

ちなみにこの試験で使用したパソコンのスペックは、Intel Core 2 Duo T7200 2.00GHz、メモリ：3GB　だったそうです。

これらの攻撃から守る具体的な対策は、

・8桁以上のパスワードを設定する

・ログインロックを設定する

・2要素認証を設定する

があります。

ログインロックとは、

複数回パスワードを間違えたら数分間アカウントを停止するなどの設定のことです。

こうすることで、解読するのにさらに膨大な時間がかかることになるので、総当たり攻撃の対策として効果的であるといえます。

２要素認証とは、

パスワードだけでログインするのではなく、あらかじめ登録していた「電話番号」や「メールアドレス」に認証コードが送られそれを認証して初めてログイン出来るというものになります。手間がかかっているので、これも対策として有効だといえると思います。

パスワードリスト攻撃

パスワードリスト攻撃とは、

攻撃者が事前に入手したIDとパスワードのリストを使って不正アクセスを試みる攻撃です。複数のサイトで同じIDやパスワードを使いまわしている人は要注意です。どこかのタイミングでパスワードが漏れてしまったら大変なことになってしまいます。

対策としては、IDやパスワードを使いまわさないことです。

パスワード管理アプリを使ってパスワードをきちんと管理しましょう。

クロスサイトスクリプティング（XSS）

クロスサイトスクリプティング（XSS）とは、

Webアプリケーションの画面表示処理の脆弱性をついた攻撃です。

攻撃者は、入力フォームにスクリプト付のリンクを含む内容を入力し、Webアプリケーションに罠を仕掛けます。訪問してきた人がリンクをクリックすることによって、別のWebサイト（クロスサイト）に遷移し入力した個人情報を盗み出すといった攻撃手法です。

対策としては、開発時に入力値を制限したりして、制限を予めかけておくことが大切です。 

SQLインジェクション

SQLインジェクションとは、

Webアプリケーションのデータベースの処理の脆弱性をついた攻撃です。

入力画面でデータベースを操作するSQLコマンドを入力することで、データベースの内部の情報を不正に操作します。

対策として、これも同様、開発の段階で、SQLのエスケープ処理、多層バリデーション、バインドメカニズムの実装、そしてログ管理などを行う必要があります。

参考

辞書攻撃（Dictionary Attack） | セコムトラストシステムズのBCP（事業継続計画）用語辞典

ブルートフォースアタック（総当たり攻撃）とは？そのやり方・実際にかかる時間・対策方法は？

クロスサイトスクリプティング（XSS）のセキュリティ対策とは？ | セキュリティ対策 | CyberSecurityTIMES

SQLインジェクションを防ぐ対策とは｜わかりやすく仕組みを解説｜セキュリティコラム｜株式会社網屋

論理設計の4ステップ

1. エンティティの抽出

2. エンティティの定義

3. 正規化

4. ER図の作成

エンティティの抽出・定義

エンティティとは、日本語で「実体」という意味にあたります。

具体的には、物理的実体を伴うものだと顧客・社員・店舗といったものや、

概念としてしか存在しない注文・予約などが挙げられます。

RDBにおいては、テーブルの名前になるものにあたります。

エンティティの抽出

エンティティの抽出とは、実現したいシステムで、どんなエンティティを管理する必要があるか洗い出すプロセスのことをいいます。

（例）本の予約管理システム

→書籍・予約・予約者などのエンティティ

エンティティの定義

エンティティの定義とは、各エンティティがどのような属性（データ）を保持するかを決めるプロセスのことをいいます。

各テーブルがどんなカラムを持つのか定義します。

テーブルとは

テーブルとは、共通点を持ったレコードの集合のことをいいます。

テーブル名はすべて複数形/ 複数名詞で表します。

テーブルの構成要素

• 行と列

• キー

• 制約

❏ 行と列

「行（レコード）」と「列（カラム）」と呼びます。

❏ キー

キーとは、ある特定のデータを引き出すための鍵となる列のことです。

表にはなくてもいいですが、テーブルにはなくてはならないものです。

主キーと外部キーがあります。

主キー（プライマリーキー）：その値をしていすれば必ず一行のレコードを特定できるような列

外部キー：２つのテーブル間の列同士の関連性を設定するもの

❏ 制約

参照整合性制約のように、テーブルには制約をつけることが出来ます。

他の代表的な制約としてNOT NULL制約があります。

NOT　NULL制約とは、

→NULLを禁止する制約のことで、

NULLとは「フィールドにデータが入っていない状態のこと」を指します。

正規化

正規化とは、システムでの利用がスムーズに行えるようにエンティティを整理するプロセスのことをいいます。

リレーショナルデータベースにおけるエンティティの整理は、正規化に整えることを指しています。

正規形とは

→データベースにおいて保持するデータの重複が排除されたデータ形式のことです。

データの重複（冗長性）があると、無駄なデータ領域と面倒な更新処理を発生させてしまいます。

正規形には第１〜第５正規形までが存在します。

業務では第３正規形まで考えることが多いです。

第一正規化

第一正規化とは、「一つのフィールドには１つの値しか含まない」という原則が守られている状態ことを指します。

Q . なぜ１つのフィールドに複数の値を入れてはダメなのか？

→複数の値を許すと、主キーが各列の値を一意に定める事ができなくなるからです。

→主キーの定義に反します。

関数従属性

xの値を一つ決めれば、yの値が１つに決まる関係性のことを関係従属性と呼びます。

「yはxに従属する」のことを指しています。

まとめると、

正規化とは、「テーブルのすべての列が関数従属性を満たすように整理していくこと」であり、{x}→{y}に当たります。

第２正規形

部分関数従属が解消されていて、完全関数従属のみのテーブルになっている形です。

部分関数従属とは

→複数列からなる主キーの一部の列に対して従属する列がある状態。

完全関数従属は

→主キーを構成するすべての列に対して従属性がある状態。

Q. なぜ部分関数従属が良くないのか

→値の更新の手間が増えてしまうからです。

第３正規形

推移的関数従属が解消されている形です。

推移的関数従属

推移的関数従属とは、２段階の関数従属がある状態のことをいいます。

まとめ

正規化とは、テーブルのすべての列が関係従属性も満たすように整理することにより、データの冗長性を排除するプロセスのこと。

第１正規形では、１つのフィールドには１つの値が、

第２正規形では、部分関係従属の解消、

第３正規形では、推移的関数従属の解消を行っている

正規化したテーブルはJOINによる結合で正規化の前の状態に戻せる。

このことを無損失分解という。

正規化の逆操作は結合という。

フォームに必要な要素

フォームに必要な要素は、

<form>、<label>、<input>、<textarea>、<button>の５つです。

<form>要素

<form>要素は、フォーム関連の集まりを表す要素です。

すべてのフォームは<form>要素から始まります。

<form action="/my-handling-form-page" method="post">

</form>

• action 属性は、フォームで収集したデータを送信すべき場所 (URL) を定義し、
• method 属性は、データを送信するために使用する HTTP メソッド ( get または post ) を定義します。

<label>、<input>および<textarea>要素でウェジェットを追加する

連絡フォームはシンプルで 3 つのテキストフィールドを持っており、それぞれに対応した <label> がついています。

label要素で関連付けを行うと、ラベル部分のクリックでその部分を選択できるようになります。ラジオボタンやチェックボックス選択のときに役立ちます。

<form action="/my-handling-form-page" method="post">
 <ul>
  <li>
    <label for="name">Name:</label>
    <input type="text" id="name" name="user_name">
  </li>
  <li>
    <label for="mail">E-mail:</label>
    <input type="email" id="mail" name="user_email">
  </li>
  <li>
    <label for="msg">Message:</label>
    <textarea id="msg" name="user_message"></textarea>
  </li>
 </ul>

<li> 要素はコードを扱いやすく構造化するとともに、スタイル設定を容易にするために用いられます。

<input> 要素でもっとも重要な属性は、type 属性です。この属性は <input> 要素の見た目や動作を定義するため、とても重要になっていきます。

<button>を追加する

<li class="button"> <button type="submit">メッセージを送信</button> </li> 

<button> 要素は type 属性を受け付けます。

 submit、reset、buttonの3 種類の値を受け付けます。

• submit ボタンをクリックするとフォームのデータを<form>要素の action 属性で定義した ウェブページへ送信します。
• reset ボタンをクリックすると、直ちにすべてのフォームウィジェットを既定値にリセットされます。UX の観点ではこのボタンはバッドプラクティスであると考えられており、どうしても必要な理由がない限りこのボタンの使用は避けるようにしなければならないといわれています。
• button ボタンをクリックすると...何も起きません。おかしなことのように見えますが、JavaScript を使用してカスタムボタンを作成するために驚くほど役立ちます。

見栄えを良くする

<style＞要素は、文書内にスタイルシートを記述するための要素です。

<style>要素を追加することで見栄えがよくなります。

<style>

</style>

# <style>タグの中に、以下を入れると見栄えがよくなる

form {
  /* フォームをページの中央に置く */
  margin: 0 auto;
  width: 500px;
  /* フォームの範囲がわかるようにする */
  padding: 1em;
  border: 1px solid #CCC;
  border-radius: 1em;
}

ul {
  list-style: none;
  padding: 0;
  margin: 0;
}

form li + li {
  margin-top: 1em;
}

label {
  /* すべてのラベルを同じサイズにして、きちんと揃える */
  display: inline-block;
  width: 90px;
  text-align: right;
}

input, textarea {
  /* すべてのテキストフィールドのフォント設定を一致させる
     デフォルトで、textarea は等幅フォントが設定されている */
  font: 1em sans-serif;

  /* すべてのテキストフィールドを同じサイズにする */
  width: 300px;
  box-sizing: border-box;

  /* テキストフィールドのボーダーの外見を同一にする */
  border: 1px solid #999;
}

input:focus,
textarea:focus {
  /* アクティブな要素を少し強調する */
  border-color: #000;
}

textarea {
  /* 複数行のテキストフィールドをラベルにきちんと揃える */
  vertical-align: top;

  /* テキスト入力に十分な領域を与える */
  height: 5em;
}

.button {
  /* ボタンを他のテキストフィールドと同じ場所に置く */
  padding-left: 90px; /* label 要素と同じサイズ */
}

button {
  /* このマージンは、ラベルとテキストフィールドの間のスペースと
     おおよそ同じスペースを表す */
  margin-left: .5em;
}

保存して再読み込みすればOKです。

データをウェブサーバーに送信する

<form>要素はaction属性とmethod属性により、どこへどのようにデータを送信するかを定義します。

フォームコントロールにnameをつけます。

これらの名前はクライアント側とサーバー側の両側で重要になります。ブラウザー側ではそれぞれのデータにどのような名前をつけるかを示すものであり、サーバー側では名前によってそれぞれのデータを扱うことができます。フォームデータは名前/値のペアとしてサーバーに送信されます。

データに名前をつけるために、各々のデータを集めるフォームウィジェットの name 属性を使用しなければなりません。

<form action="/my-handling-form-page" method="post">
 <ul>
  <li>
    <label for="name">Name:</label>
    <input type="text" id="name" name="user_name" />
  </li>
  <li>
    <label for="mail">E-mail:</label>
    <input type="email" id="mail" name="user_email" />
  </li>
  <li>
    <label for="msg">Message:</label>
    <textarea id="msg" name="user_message"></textarea>
  </li>

  ...

この例では、フォームはそれぞれれ"user_name"、"user_email"、"user_message" と名付けられた 3 つのデータを送信します。これらのデータは URL "/my-handling-form-page" へ、HTTP POST メソッドで送信します。

サーバー側では URL "/my-handling-form-page" のスクリプトが、HTTP リクエストに埋め込まれた 3 つのキーおよび値のアイテムリストとしてデータを受け取ります。

参考

form要素 ≪ フォーム ≪ 要素 ≪ HTML5入門

HTML5/フォーム/label要素 フォーム部品とラベルを関連付ける - TAG index

HTML5/フォーム/button要素 内容を持つボタンを作る - TAG index

HTML5/ページ全般/style要素 スタイルシートを指定する - TAG index

初めてのフォーム - ウェブ開発を学ぶ | MDN