開発

2016.11.25

週刊Railsウォッチ（20161125）Railsのデータベース・ベストプラクティス、SQLインジェクション解説ほか

hachi8833
&

シェア
ツイート
ブックマーク
LINE

※ 「Ruby/Rails界隈ウォッチ」は2016年12月より週刊Railsウォッチにタイトルを改めました。

こんにちは、hachi8833です。昨日のTechRachoでお知らせしたとおり、RailsチュートリアルがRails 5に完全対応しました。それでは今週のRailsウォッチです。

臨時ニュース

Ruby 2.3.3リリース

11月21日に2.3.3がリリースされました。

このリリースには Refinements と Module#prepend に関する不具合の修正が含まれています。同じ Class に対して Module#refine と Module#prepend を併用すると意図しない NoMethodError が発生することがありました。これは先日の Ruby 2.3.2 のリリースで入り込んだ不具合です。詳しくは [Bug #12920] を参照してください。
ruby-lang.orgニュースより

Rails公式ニュース

CapybaraがRails 5.1での統合準備すすむ

統合後はRailsのテストフレームワークがActionSystemTestと呼ばれるようになるそうですが、また変わるかもしれませんね。最初Capybaraの名前が変わるのかと空目してしまいましたが、違いました。

なおBona fideはラテン語で「本物の」「真正の」といった意味です。

System tests have finally taken strong hold at @Basecamp. Can't wait for us to level-up @Rails with great defaults for it in 5.1! pic.twitter.com/eptnu8OcAc

— DHH (@dhh) 2016年11月10日

Ruby Weekly

RubyのC言語拡張機能を書く―2016年版

morimorihoge: サウンド関係など、リアルタイム処理やりたいときや特殊なドライバをRubyからつつきたいときは必要になるかもしれないですね。

参考: Ruby用拡張ライブラリをCで作る

KubernetesでRailsをデプロイする

Kubernetesは自前でクラウドを構築するレベルのソフトウェアなので、強烈に難しそうです。morimorihogeさんの解説では、live migrationひとつとっても膨大な問題をクリアする必要があるそうです。

morimorihoge: 今ならDocker SwarmがDocker Engineに統合されたし、AWS ECSやGCPなどにも類似コンテナサービスがあるはずなので、そっちを使いたいですね。

Kubernetesはギリシャ語由来だそうで、発音は「クーベルネイテス」が近そうですね。きぐしねいです。

参考: Dockerを管理するKubernetesの基本的な動作や仕組みとは？ Kubernetesを触ってみた。第20回 PaaS勉強会

WebPackとYarnでAsset Pipelineを置き換える

多くの人がSprocketsやAsset Pipelineを何とかしようとして頑張っていますね。早く決定打が登場して欲しいです。

参考: The State of Sprockets（Ruby on Rails Tech Meetupに参加してきました！（2016/10/24）より）

Railsのデータベース・ベストプラクティス

データベースに本来の仕事をさせよう
有効かつチェイン可能な（chainable）スコープを使おう
1. スコープはActiveRecord::Relationを返そう
2. フィルタはRubyではなくデータベース側で行おう
3. ソートはRubyではなくデータベース側で行おう
4. スコープで不必要なORDERを指定しないようにしよう
データベース呼び出しの回数を減らそう
インデックスを使おう
クエリが複雑になったらQueryオブジェクトを使おう
ScopeやQueryオブジェクトの外でその場限りのクエリを行わないようにしよう
型を正しく指定しよう
データベースの全文検索機能の利用も検討してみよう
ストアドプロシージャは最後の手段にとっておこう

morimorihoge: 7.について、PostgreSQLは型についてかなり厳格だけどMySQLは逆にユルいので、Active RecordでMySQLを使っている人ほど型を正しく指定することに気をつけることをおすすめします。

RubyistのためのO(n)記法

計算量のO(n)記法をRubyのコードで解説してくれているのがありがたいですね。

RubyFlow

Rails 5でのSQLインジェクション問題解説サイト: rails-sqli.org

現時点では以下のSQLインジェクション例が紹介されています。再現用のGitHubリポジトリもあります。

Calculations#calculateメソッド
delete_allメソッド
destroy_allメソッド
exists?メソッド
find_by、find_by!メソッド
fromメソッド
groupメソッド
havingメソッド
joinsメソッド
lockメソッド、findの:lockオプション
orderメソッド
pluckメソッド
reorderメソッド
selectメソッド
whereメソッド
update_allメソッド

提供元はBrakeman Proのスタッフです。すべてを網羅しているわけではないので、新しいパターンを見つけたらぜひ貢献して欲しいとのことです。

Hacker News

SpaceX社が低遅延のギガビット級衛星インターネットを計画

morimorihogeさんの解説によると、衛星経由のインターネット接続は広帯域ではあるが遅延（レイテンシ）が大きいという特性があるそうです。TCP 3-wayハンドシェイクとかいかにも苦しそうですね。

SpaceX社は、高度715〜823マイルの低軌道衛星を4,425機打ち上げ、現行のHugesNet衛星（高度22,000マイル）の600ms程度の遅延を25〜35msに短縮する計画であるとのことです。

なお715マイルは約1150km、22,000マイルは約35400kmなので、SpaceX社の衛星は低軌道とは言っても国際宇宙ステーションより高高度になりそうです。

Quick, Draw

Quick, Drawより（Quick, DrawはGoogleのサービスです）

指定の絵を20秒以内に描いてGoogleのニューラルネットワークに判定させるという遊びです。先週からBPSでも密かに流行っています。

これ本当に、子どもの英語学習教材として非常に強力なんじゃないでしょうか。

Googleが.NET Foundation加入を表明

Google公式ブログ（英語）でも、.NET FrameworkをGoogle Cloud Platform（GCP）で優先サポートすると発表されています。ついこの間のマイクロソフトのLinux Foundation加入に答えるかのようなタイミングです。

もしかするとGoogleは本気でJavaからC#に乗り換えるのかもしれません。ご存じのとおり、既に.NET FrameworkやC#などがオープンソース化され、Macでも開発・実行可能な環境が急速に整いつつありますが、それにしても動きが早くなってきました。

警告: Windowsのアプリやツールで（WSLの）Linuxファイルを絶対に変更しないでください

MSDNブログでの発表です。Windows側からLinuxファイルを変更するとデータが破損、最悪の場合ディストリの再インストールが必要になるかもしれないとのことです。

Github Trending

最近のGitHub Trendingは何とかAwesomeといった単なるまとめ情報が上位にあがってきて邪魔ですね。それも機械学習系のまとめ情報が目立っています。

devdocs

http://devdocs.io/は、複数のAPIドキュメントを串刺し検索できます。Dashのオンライン版のようなおもむきですね。私は一発で気に入ってしまいました。

使いたいドキュメントの[Enable]をクリックすることで、検索窓で検索できるようになります。

morimorihoge: GitHubでソースが公開されているのが良いですね。

Goの部屋

GDrive

Googleドライブのコマンドライン版クライアントです。ファイルリビジョンまで扱えます。これを使ってちょっとしたアプリケーションすら作れそうです。

無印枠

secureheaders gem

セキュリティ関連のヘッダーを集めたgemです。

今週は以上です。

シェア
ツイート
ブックマーク
LINE

Twitter: @hachi8833、GitHub: @hachi8833 コボラー、ITコンサル、ローカライズ業界、Rails開発を経てTechRachoの編集・記事作成を担当。これまでにRuby on Rails チュートリアル第2版のコンテンツ監修、Railsガイドのコンテンツ作成を担当。かと思うと、正規表現の粋を尽くした日本語エラーチェックサービス enno.jpを運営。実は最近Go言語が好きで、Goで書かれたRubyライクなGoby言語のメンテナーでもある。仕事に関係ないすっとこブログ「あけてくれ」は2000年頃から多少の中断をはさんで継続、現在はnote.comに移転。Amazonウィッシュリスト: https://bit.ly/32aAmiI

週刊Railsウォッチ（20161125）Railsのデータベース・ベストプラクティス、SQLインジェクション解説ほか

臨時ニュース

Ruby 2.3.3リリース

Goの部屋

無印枠

関連記事

週刊Railsウォッチ（20191202前編）Rails 6のimplicit_order_columnはカスタマイズ可能、rubocop-rails 2.4.0リリース、Capistrano記事ほか

Kotlinの拡張機能で冗長な〇〇Utilsから脱却する

Rails: ビューでstrftimeを直書きするのはたぶんよくない（翻訳）

週刊Railsウォッチ（20191119後編）メソッド参照演算子が廃止、GitHub新機能続々、平成Ruby会議、GitHub OAuthバイパスほか

Rails 6の新しいデフォルト設定と安全な移行方法を詳しく解説（翻訳）

WebエンジニアがPhotoshopで画像の文字を修正する方法

電子書籍でよく耳にする「EPUB」っていったい何者？なんて読むの？非エンジニアが簡単にまとめてみた

[Rails 5] モデルの継承元がActiveRecord::BaseからApplicationRecordに変更された

[PHP] fputcsv関数の問題点と解決方法

PythonのSQLite3で検索するとIncorrect number of bindings supplied. The current statement uses 1, 10 supplied.と表示される

SQLite on Railsシリーズ（14）SQLite拡張機能をsqlpkgでインストールする（翻訳）

AIパフォーマンスの最適化を学ぶ（1）適切なレスポンスが重要な理由

Rails: new_framework_defaultsの設定が反映されるタイミングを無邪気に信じてはいけない（翻訳）

Rubyの新機能: 埋め込みTypedDataオブジェクトが実装された（翻訳）

Railsスケーリング（3）: GVL競合を計測してプロセスごとの理想的なスレッド数を決定する（翻訳）

関連記事

Ruby正規表現の後読みでは長さ不定の量指定子は原則使えない

はじめての正規表現とベストプラクティス3: 冒頭/末尾にマッチするメタ文字とセキュリティ、文字セットの否定と範囲

Windows: アプリ終了時テストをPowerShellスクリプトで楽に行う

CONTACT