2014年09月

paizaランクをSにした

久しぶりに paiza のプログラミングスキルチェックに励んでみた。今年2月にRubyのランクBを取って以来、久しぶりの挑戦だ。ランクA以上は時間がかかるので、「いつか時間のあるときにやろう」と止めてしまっていた。

今回はなんとなくPHPを選んだ。久々なのでランクDから始め、ちょこちょこ失敗しつつも、なんとかランクSまで一日のうちに取れた。

paiza

こういう問題は、PHP歴半年でも解ける人は解けるだろうし、PHP歴10年でも解けない人は解けないだろう。「PHP歴2年以上」のような人材募集の文面を見かけるが、経験年数でスキルを判断するのは不合理な悪習だとあらためて感じた。

ITトレメ「PHP技術者認定・上級」の42問目について

ITトレメ「PHP技術者認定・上級」の42問目は「JavaScriptインジェクションが可能となるスクリプトとして、正しいものを1つ次の記述の中から選択せよ」という問題だ。

正しい答は:

<?php
$v = strip_tags($_GET['param'], '<a>');
var_dump($v);
?>

とされている。しかし:

<?php
$v = filter_var($_GET['param'], FILTER_VALIDATE_EMAIL);
var_dump($v);
?>

も「JavaScriptインジェクションが可能」ではないだろうか。

たとえば Does PHP's FILTER_VALIDATE_EMAIL provide adequate security? - Stack Overflow に示されている「"<script>alert('xss')</script>"@example.com」が $_GET['param'] に渡ったらどうなるだろう。

というようなメールを関係先に送ってみた。


そもそも var_dump 時に、エスケープ漏れを気にする必要はないと思う。


追記(2014-09-03)

PHP技術者認定機構の理事長・吉松氏が5月に書かれた記事によると、「ITトレメの上級試験問題の廃止を決めました」とのこと。残念だが、そのうち非公開となるのだろう。

徹底攻略PHP5技術者認定[上級]試験問題集[PJ0-200]対応』を購入したので、そこでも誤りと思われる問題が見つかったら、また報告します。

情報処理学会に入会した

予告どおり情報処理学会に入会した。学会の活動は様々だが、資格おじさんの僕としては、認定情報技術者制度に注目せざるをえない。

この資格は、IPAの情報処理技術者試験とは違い、(個人認証の場合)申請書の提出を求めている。申請書の様式は職種と専門分野によって分かれており、したがって、まずは自分の専門分野を決めなければならない。専門分野は全部で19種類あるが、実際に選べるのは、自分が合格している高度情報処理技術者試験に対応したものだけだ。

たとえば僕の場合、「データベーススペシャリスト試験」と「情報セキュリティスペシャリスト試験」に合格しているので、今のところ選択可能な専門分野は「データベース」か「セキュリティ」の2つということになる。仮に「システムアーキテクト試験」に合格すれば、6つの専門分野が選択可能になる。

申請書には「主要業務実績」のほか、「研修受講」「資格取得」「著作・論文」「講演・講師」「学会・コミュニティ活動」「後進の育成」といった欄もある。ITスキル標準のロードマップに則した研修の受講や、学会の研究会参加など、一見地味な社外活動でも評価の対象になるということだ。などと考えているだけで楽しくて仕方がない。

プロフィール
知識欲と謎解き欲が旺盛なWebエンジニア。AWS認定ソリューションアーキテクト&デベロッパー(いずれもアソシエイト)。JAPAN MENSA会員
カテゴリ別アーカイブ
記事検索