HOME » 備忘録 » 2017 » PHPカンファレンス2017

PHPカンファレンス2017

PHPカンファレンス2017に行ってきたというお話

作成日時:2017-10-08 / 最終更新:2017-10-15

PHPerになって早1年が経とうとしているが、去年のPHPカンファレンスはLive映像越しでの参加だったので、 今回は実際に足を運んでみた。

事前にスケジュールをチェックするも、どれも魅力的で選ぶのにかなり苦労した。

今回以下のものに参加した

session12: OpenID Connectを通じてWebアプリケーション技術とPHPによる実装を学ぼう

スピーカー:倉林 雅
OAuth2との違いについて、認証と認可の観点から解説がはじまり、実際に行われるセッションについて、実際のデータに近いサンプルで紹介されていた。
OAuthは認証システムであり、認可が存在しないといった話で、またOpenID Connectという名前がついているがOpenIDから派生、または拡張されたものではなく、OAuth2から認可を取り組んだ規格とのこと。

なかなか興味深く、今後MODXの拡張機能として取り組んでみたいサービスでした。
Yahoo!の社内でスペシャリストとして黒帯という称号が与えられているらしく強そうだった…

session03: 型を意識したPHPアプリケーション開発

スピーカー:Masashi Shinbara
PHPで行われる暗黙的な型変換や、スカラー型に加えて、型宣言を利用して処理や手続き上の間違いは発生しないよう、
また予期しない型が入った場合、気づけるようにしていく手法から、さらに尖らせたドメイン特化型などを紹介。
SQLをよく投げる自分としてはさっそく使ってみたいと思う内容でした。

session04: 著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則

スピーカー:EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩
境界線内だからといって値のチェックを怠るのは危険かもしれないといった内容。
セカンドオーダーSQLインジェクション攻撃を紹介し、内部からとってきたと思える値でも外から入ってきている場合は攻撃が成功してしまう例を紹介。

加えてWordpressの4.7.0-4.7.1に存在したRestAPIにおける権限昇格の脆弱性(CVE-2017-1001000)に対して、ブレイクポイントを使用し攻撃が成功していく様子を変数の中身を追いながら、またどうやったら防げたのかといった興味深い話でした。
どうでもいいがこの脆弱性について、当時IPAをはじめいろんなところから注意喚起の通達や、取引先からの確認などたくさん届いたことを思い返す…

会場では徳丸浩氏のサイン会が行われており、「徳丸浩のWebセキュリティ教室」を会場で販売していたので購入し、サインと握手をしていただいた。

session05: 片手間MySQLチューニング戦略

スピーカー:日本MySQLユーザ会 yoku0825
少し休憩をしていて、後半のほうしか見ることができなかったが、MySQLというRDBMSの特性や、それをログで出力することでどこで負荷がかかっているか、そこからどうチューニングしたらよいかを展開されていた模様。
また、InnoDBのキャッシュテーブルの役割や、データが非同期的にデータベースに反映される模様を紹介。
SELECT文の実行時でもキャッシュテーブルからテーブルがはじき出されたときにUPDATEが実行されることがあるなど。

あとでアーカイブで再度見直させていただこうと思う。
今回PHPはもちろんのことデータベースについても強くならないとなぁと思える一日でした。

個性あふれるLT勢

筋トレの話が強すぎて他のが思い出しにくくなっているが、結果にコミットできるベルトなど肉体改造がやや多かったが、面白い話がたくさん聞けた。
LTという時間の中でも興味がわくいい時間でした。

懇親会には参加しなかったが、来年は参加したいと思う。

最後に

素晴らしいカンファレンスを主催・運営していただいた数々の方に感謝。
PHPカンファレンスのHP上でもLIVEで配信された動画がアーカイブされているので、ぜひ見てみることをお勧めする。
http://phpcon.php.gr.jp/2017/
ほかにもQiitaのほうで資料も含めてまとめくれている人がいるので貼っておく。
https://qiita.com/hikarut/items/9029566b05c25d235f78