PHP8技術者認定上級試験合格体験記

PHP8技術者認定上級試験合格体験記 - Qiita

PHP8技術者認定上級試験は過去問や参考書がないらしい。

PHP5技術者認定上級試験なら黒本がある。

PHP7技術者認定試験は初級までしか黒本がでていない。

試験に合格したからといって中高年の未経験者がキャリアチェンジしてPHPプログラマーやエンジニアとして転職できるわけではない。

IT業界はどこも年齢差別が激しく、頑なに中高年の未経験者の転職を拒んでいる。

これから先、若者達がIT業界を建設業界みたいに超ブラックとして認識し、みんな避ける様になったら、年齢差別などしている場合ではなくなる。

それでも相変わらず建設業界では未だに年齢差別がなくならない。

URLパラメーター改竄攻撃とは？

アプリケーションの攻撃パターン - 1) URLパラメータの改ざん

例えば、郵便追跡サイトの例をあげてみる。

https://trackings.post.japanpost.jp/services/sp/srv/search/

番号入力ボックスに番号ではなくて

あいうえお

と平仮名を入力して開始ボタンを押してみると、次のようなURLが生成されてページが遷移する。

https://trackings.post.japanpost.jp/services/sp/srv/search?requestNo1=%E3%81%82%E3%81%84%E3%81%86%E3%81%88%E3%81%8A&search=%E9%96%8B%E5%A7%8B&locale=ja

末尾の/が?に変わり、さらに

requestNo1=%E3%81%82%E3%81%84%E3%81%86%E3%81%88%E3%81%8A&search=%E9%96%8B%E5%A7%8B&locale=ja

という文字が追加されている。

URLの後尾に不正なパラメーターを入力することにより、他のユーザーの情報が漏れてしまったり、サイトのパスワードも漏れてしまうこともある。

俺はこういう攻撃方法もあるのではないか？と思い、今朝調べてみたのだが、この攻撃方法はURLパラメーター改竄攻撃というものらしい。実は20年近く前から俺がURLの末尾をいろいろイジることができることは知っていたのだ。

末尾の余計なディレクトリを消しながら上位のディレクトリにさかのぼりながらディレクトリ内を探ったり、index.htmファイルを探したりとかいろいろ悪さをしていた。

しかし今は仕事に応用してみたいと思い立ったのだ。

仕事で3つのサイトを使いながら現場を回り、その都度IDとPasswordを入力するのは面倒だから、IDとPasswordが入ったパラメーターをURLに付け足し、QRコード化しておき、読み込んで一発でログインできたら便利だと思ったのだ。

URLとパラメーター、Webアプリ、PHP、SQLなど関連する知識は仕入れたいところだ。

P.S.

Gooblogのログイン画面のURLは次のようになっている。

https://login.mail.goo.ne.jp/id/authn/LoginStart?Site=blog.goo.ne.jp&Success=https%3A%2F%2Fblog.goo.ne.jp%2Fadmin%2F

:が%3A

/が%2Fで置き換えられているのが分かるが、ID&Passwordはパラメーターとして入れられないらしい。というかどのようなパラメーターの書き方をすればよいのか分からない。

セキュリティ対策としてパラメーターを入れられないようにしているのかもしれない。

ログイン失敗の場合は次のURLに遷移し、再度やり直しを求められる。

https://login.mail.goo.ne.jp/id/authn/Login

この辺のパラメーターに関しては大いに研究の余地があると言える。

PHPでクレカ決済ECサイトを作る講座

Laravelと決済プラットフォームであるStripeを使用して、ファッションECサイトの作り方を解説

【Laravel 9】LaravelでStripeを使った決済処理付き簡易ファッションECサイトを作ろう！ | Techpit

やれWebアプリだのフロントエンドだのバックエンドだのフルスタックエンジニアだの虚勢を張っているなんちゃって自称エンジニアやプログラマーが多くて反吐が出る。

Webアプリの登竜門と言えばクレカ決済ECサイトに決まっている。

当然、ブログやSNSなどショボ過ぎて話にならない。

雄貴とかいうフリーランスプログラマー商材詐欺師がいるが、こいつはTODOリストが作れるようになれば良いなどとバカみたいなことをぬかしている。

客先が求めているものはECサイトにセキュアなクレカ決済システムを組込むこととポイント付与等の付加機能、売り上げ促進の仕組みである。さらに宣伝広告コストを極限まで減らして効率良く利益を自動で増やしたい、何もせずに自動で集客できる仕組みを作りたいということだ。

TODOリストはそのいずれにも全く当てはまらない頓珍漢で的外れなものである。

従って、まずはクレカ決済ECサイトを作れるようになるべきである。

ちなみに俺はIT業界は偽装請負多重派遣が蔓延る詐欺業界だという結論を下したので、電気系・電気通信系資格で食って行くことにした。

PHPでちょっと遊んでみた。1から10までの和を求めるプログラム

今日ヤフオクで買った本↓が届いた。

2002年11月1日第1版第1刷の108ページにあるサンプルスクリプトを実行してみた。

図解・標準最新ＰＨＰハンドブック / 上ヶ迫 勝憲【著】 - 紀伊國屋 ...

<?php

$start=1;

$end=10;

$sum = 0;

for ( $ix = $start ; $ix <= $end ; $ix ++ ){

$sum += $ix;

}

print "$start Kara $end Madenogoukeiha $sum Desu";

?>

AndroidでPHPが動くアプリ

コードエディタ↓

https://play.google.com/store/apps/details?id=com.rhmsoft.code

日本語が入力できないのが欠点だが、とりあえずエラーがでなかったから良しとしよう。

1からnまでの整数の和はn（n+1）/2だから検算して正解であることが確認できた。

本来はSQLとセットで同時並行で学習すべきであったが、SQL単独で本を買い漁り過ぎてしまった。

プログラムのセキュリティについても学習すべきだ。

【追伸】

昨日、Hackという言語を初めて知った。PHPの派生語らしい。PHPをHackにトランスパイルしたい、トランスパイラが無ければ作ってみたいと思い、ググってみたら残念ながら既に先行者がいるようだ。

https://www.google.com/search?q=php+to+hack+transpiler&client=ms-android-xiaomi&sca_esv=a07f0383584960a3&sxsrf=ADLYWIL2EoYJ4D6V2wYdJz4d1C-W79HfcA%3A1731322835401&ei=0-MxZ_6PGL7O2roPzfKzkQQ&oq=php+to+hack+tr&gs_lp=EhNtb2JpbGUtZ3dzLXdpei1zZXJwIg5waHAgdG8gaGFjayB0cioCCAAyBBAjGCdIkEZQ_RFYsj5wAHgAkAEAmAGeAqABiBKqAQYwLjEwLjK4AQHIAQD4AQGYAgSgAvgGwgILEAAYgAQYsAMYogTCAgsQABiwAxiiBBiJBZgDAIgGAZAGA5IHBzAuMy4wLjGgB9UZ&sclient=mobile-gws-wiz-serp

しかし俺はめげない。この本のサンプルコードをC++のWebAssemblyにトランスパイルしてしまえば良いのだ。

PHP実用本

PHPによるECサイトプログラミング : ショッピングカートから決済まで : MySQLのデータベース設計とPHPセッション管理の作法 (ソシム): 2007｜書誌詳細｜国立国会図書館サーチ

ショッピングカート・決済システム等、実務に関わる大事な内容が書かれた唯一の本。

入門書を軽く流したら、このようなニッチなテーマに即取り組むべきだ。

他には課金システムとか。

web系プログラマー、エンジニアを志望している者は、ポートフォリオにこのような実用的なものを取り入れるべきだ。

※古いバージョンらしいので、あくまでも参考程度に。