PHP 来歴のトリヴィア

わんくま同盟横浜勉強会 #07 PHP 来歴のトリヴィアがる

わんくま同盟横浜勉強会 #07 自己紹介 • 古庄(道明)と申します • Webでは「がる」というハンドルでふらついております •
本職は技術者です。現役プログラマーです • あわせて設計とかインフラとか教育とか色々やってます • おいちゃんです

わんくま同盟横浜勉強会 #07 本講の目的 • 笑わせることです(マテ • PHPの「笑えたり笑えなかったり黒かったり暗かったりする」お話を交えて、PHPに馴染んでもらったり慣れてもらったり覚悟を決めてもら
いたかったり諦めてもらったりしたいです

わんくま同盟横浜勉強会 #07 • PHPの過去から今までの「無駄な知識」を、今宵、あなたと • 記憶容量の無駄使いになるので、決して、決して、記憶をしないように(笑 •
「いつまでたっても使えないムダ知識をあなたに」

わんくま同盟横浜勉強会 #07 Server Side Includes があったげな • 今は昔。Server
Side Includes(SSI)なる機能ありけり • 「コマンドをHTMLに埋め込む」と「サーバ側でよしなに処理して」くれる、便利機能でした • 次のPageで、いくつか実例を出して、昔を懐かしんでみましょう。

わんくま同盟横浜勉強会 #07 • ファイルの埋め込み –  •
現在時刻の表示 –  • コマンドの実行(カウンタとか) –

わんくま同盟横浜勉強会 #07 余談 • つい先日。具体的には2015年8月前半にちょろっとお請けさせていただいた受託案件で「SSIがありました」！！！！ – ものとしては
#include • 絶滅危惧種の可能性は否定しないのですが、絶滅はしていないんだなぁ、という、ある種の感動が胸を去来したものでございます。

わんくま同盟横浜勉強会 #07 PHP 爆誕までの軌跡 • Perlで書いた便利なCGIラッパー • 「重いからC言語で書き直そう！」 •
Personal Home Page Tools 爆誕！ – DBアクセスとかも実装！ • 新しいツールFI(Forms Interpreter)を作成 – HTMLに埋め込める構文 – form変数の自動取得 • で、 Personal Home Page Construction Kit という名前で統合、再度PHPのお名前が浮上

わんくま同盟横浜勉強会 #07 • その後、PHP/FI という名前で公開 – 正式名称「Personal Home Page
Construction Kit/Form Interpreter」(笑 – 一般的に、これがバージョン2.0 にあたる – ちなみにこの当時は「UNIX用」のみ。 • PHP/FIは、大変に「SSI」(笑) – 今っぽくも書けるのですがね – これからお見せするサンプルは「PHPマニュアルに書いてある」サンプルです(笑

わんくま同盟横浜勉強会 #07   
Hey, you are using Netscape!<p>    Sorry, that record does not exist<p>  Welcome !<p> You have  credits left in your account.<p>

わんくま同盟横浜勉強会 #07 • まぁそれでもPHP/FIでも色々とあったしできた – Apacheとの連携 – FastCGIサポート –
DBアクセスの更なる実装 – Cookieのサポート

わんくま同盟横浜勉強会 #07 • 構文としては… – 変数、(連想)配列 – 可変変数 –
if等の制御構文一式 – ユーザ定義関数 – 「関数スコープ」の変数スコープ

わんくま同盟横浜勉強会 #07 ちと一言 • 大抵、どの言語でもCGIは書けます – bashは可能。無理なのはBrainfuckくらい？ • ただ、大抵どの言語も「CGI用のライブラリなり
クラスなり」をincludeしたりrequreしたりuseしたりimportしたり開発したり、が必要です。 • PHPは「言語仕様として、最低限の"情報の取得"とかその辺が盛り込まれている」のが特徴 – ってのが、この辺の経緯で見て取れます

わんくま同盟横浜勉強会 #07 その後… • 現在の文法にかなり近づいたPHP３を開発 – うわっつらは「ある程度」似せる – 中のエンジンは「気合いで」書き換える
• Zendエンジン、と呼称されて現在に至る • ちなみにPHP3の頃にOOP(いわゆるクラス) の構文が出来たようですが…記憶にありません(笑 • 日本語使うのが「めちゃ」大変だった(笑 – 「国際化パッチ」とか「i18n」とかって単語が色々

わんくま同盟横浜勉強会 #07 PHP４と共に • Zendエンジン書き換え(によるチューニング) • マルチバイト系処理の取り込み • 「PHP3とPHP4の共存」とかってのも結構多
かったなぁ… – 拡張子ですり替える、とかやってました

わんくま同盟横浜勉強会 #07 そしてPHP5 • 地味だけど地味じゃないところで色々と変更がありました – 個人的には「オブジェクトがちゃんと参照でやりとりされる」のが一番でかかったかなぁ、と
詳しくは後ほどの「参照のお話」で • 「PHP4からPHP5へのリプレイス」案件も結構ありました – セミナーとかもいっぱいあったし

わんくま同盟横浜勉強会 #07 • 「2004年7月13日にリリース」なんでかれこれ 10年ほどメジャーバージョン変わらず • 5.3で色々増えた – 名前空間、無名関数(クロージャ)、goto構文
• 5.4で色々増えた – trait、配列の短縮構文、細かい文法色々 • func()[0]、(new hoge)->func() 構文など – ビルドインウェブサーバの追加 • 「php -S localhost:8000」でサーバが立ち上がる

わんくま同盟横浜勉強会 #07 • 5.5でも増えた – yield、finaly、password_hash() • 現在は5.6 –
可変引数の書式追加、phpdbg、GMP演算のオーバーロード(桁あふれ防止) • まぁそもそも「5.3の次は6.0」だったはずなんですけどねぇ…色々あって、その結果、色々あったらしいです(苦笑

わんくま同盟横浜勉強会 #07 そして時代はPHP7！！ • 2015年11月リリース予定！！ – いやまぁ面白くなりそうなんですがね • 上っ面は必ずしも「そんなに巨大に違う」訳で
はない…と、思う。多分。 – 「素直に」作ってれば、そんなに苦労しないと思う。４から５への移行もそうだったし • 内部は結構「笑っちゃうほど」変わるぽいので、期待してます • まぁこの辺は「他の言語」でも一緒ですな(笑

わんくま同盟横浜勉強会 #07 PHPの魔窟「配列」 • いわゆる「char s[]」の配列からlist、hashなどなど。様々な配列があり、データの持ち方の特性があり、使い分けが必要ですね •
PHPでも「普通の(数値)配列」と「ハッシュ(連想)配列」があります……………表向き。 • 内部的には、配列は「listかつmapな配列」１種類のみ！ – 「連想配列で順番」とかナニゴト！？ – 最近は「連想配列で順番」、流行ぽいですが…

わんくま同盟横浜勉強会 #07 • これで何が困るって… • 「他言語からPHPにお越しの方」は「数値配列と連想配列の混在」みて、パニックします • 「PHPから他言語にお出かけの方」は、区別
せずに怒られて凹みます • いみゅーたぶる？なにそれおいしい？ – pythonとかいくとねぇ…

わんくま同盟横浜勉強会 #07 悪名高きその名は register_globals • 歴史経緯的に「Webアプリケーション(CGI)で使う」前提なので、formの情報を「如何に取得するか」ってのは、PHP的には重要なお題で
ございます。 – 他言語のように「別にライブラリを取り込んで」とか「自作して(…えぇCでやりました)」とかが不要なのは、確実にメリットなので。 • じゃぁどうやって情報を取得していたのか？

わんくま同盟横浜勉強会 #07 • こんなリクエストがあると… – test.php?a=abc&name=value • こんな変数に、こんな値が「自動的に」入りました。
– $a = 'abc'; – $name = 'value'; • まぁFlashなんかもこんな感じでしたね • 大変に便利な時代でした。

わんくま同盟横浜勉強会 #07 • 冷静に考えてみて「外から、お好きな変数にお好きな値をぶちこめる」仕様でございます • 正直LL(Lightweight Language：軽量プログラミング言語。軽量なのは「学習コスト」であって「利用者の脳みそ」ではない点に注意
)において変数の初期化って「お作法としてあまり浸透していない」ので… • 例えば、のサンプルコードを、ひとつ。

わんくま同盟横浜勉強会 #07 • これを、以下のURLで叩いたら… – attack.php?id=&pass=&auth_flg=1 if (入力されたIDとパスワードが適切なら) {
$auth_flg = 1; } // if ($auth_flg == 1) { ログイン成功の処理 }

わんくま同盟横浜勉強会 #07 • あの１つだけで「十二分に」キモが冷えるのですが、まぁつまり「そんな感じ」でした。 • それでも一定量のPHPerは「register_globals 万歳！」って言ってたんですけどねぇ… •
最終的に「PHP5.4で、目出度く廃止」となりました。 – つまり、つい最近まで「廃止になってなかった」っていう事でもあるのですが…

わんくま同盟横浜勉強会 #07 • 「それでもなお」って人のために、「 PHP 5.4 以上でも register_globals を再現するライ
ブラリ」を作った御仁がいらっしゃいます • ライブラリ名をみて、しみじみと、わびさびを感じ取っていただければ、と思います • MercifulPolluter – Merciful：慈悲深い，情け深い. – Polluter：環境の汚染を引き起こす人または組織, 公害犯人，汚染者

わんくま同盟横浜勉強会 #07 もう一つの黒歴史汝は magic_quote • 一言で片付けると「セキュリティ対策のために生まれて、セキュリティ対策によって消された機能」です。
• もうちょっと丁寧に書くと「中途半端な対策でもないよりマシだろう」で生まれて「中途半端過ぎるから無いほうがマシだよねぇ」で消されました。 • どっとはらい。

わんくま同盟横浜勉強会 #07 magic_quoteの中身 • 動きとしては「全ての' (シングルクオート), " (ダブルクオート), ¥
(バックスラッシュ)および NULL 文字がバックスラッシュで自動的にエスケープされます」 • これによって、SQL-Injectionが「だいたい」防げるかなぁ、という感じになっています – 文字コードとの組み合わせで防御が突破できる等、完全ではない辺りが(ある意味)ポイント

わんくま同盟横浜勉強会 #07 • なお、現在「SQL-Injection対策」は、「普通プリペアドステートメントでしょう」というのが、一般的なようです – 特にJava界隈で「プリペアドステートメントはチューニングの技術ではあってもセキュリティの技
術ではない」という意見を定期的に観測するのですが、現在、セキュリティの文脈で使われる事が多いです

わんくま同盟横浜勉強会 #07 • また、magic_quoteがonの時にformなどで値をもちまわしていくと「￥記号が連続的に増えていく」なんていう面白事象もあり、数年前に見つけたときは、心が温まったものです – 表
→ 表¥ → 表¥¥¥ →表¥¥¥¥¥¥¥

わんくま同盟横浜勉強会 #07 マニュアルから引用 • 以前は確かに存在し、特に意識せずによりよい (安全な) コードを書けるという意味で
一部の初心者の助けとなっていました。しかし、この挙動を前提としたコードを見かけたときはマジッククオートをオンにするよりコードそのものを書き換えるほうがいいでしょう。単純に、SQL インジェクションを防ぐためというだけの理由です。いまどきの開発者はセキュリティに対する意識が向上しており、マジッククオートなどという機能に頼るよりもデータベース自体のエスケープ機能やプリペアドステートメントを使った方がよいことに気づいています。

わんくま同盟横浜勉強会 #07 こーゆーのがあるから… • IPAの文章より(現在は消えてます) • より良いWebアプリケーション設計のヒント – (1)
プログラミング言語の選択 • 例えば、PHPを避ける短時日で素早くサイトを立ち上げることのみに着目するのであれば、PHPは悪い処理系ではない。しかし、これまで多くの脆弱性を生んできた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。

わんくま同盟横浜勉強会 #07 ちなみに現在は… • そもそも、セキュリティホールは「言語仕様によって発生する」のではなくて「技術者のスキル＆知識レベルによって発生する」前提なので、基本的には「この言語だから」って発言自体にツッコミ満載であることが大体わかってい
ます • 「徳丸本」という本のおかげで(一部の)PHPer のセキュリティ関連の知識が急激に上昇していると思われます(笑

わんくま同盟横浜勉強会 #07 PHP4でのくらすのようなもの:足りないもろもろ • private / protected のようなアクセス修飾子 •
デストラクタ • abstract / virtual • クラスにヒモ付いた定数(オブジェクト定数) • interface • 以上が「ありません」 – 個人的には「全部public」と「virtualなし」が辛い…

わんくま同盟横浜勉強会 #07 がっつり鬼門の「参照」 • 特にC系列の方に多いお話なのですが… 「変数渡すのに実値渡すとメモリ消費でかくなるから参照で渡す」とか、そういうところで割とカジュアルに、ポインタ渡したり参照渡ししたりします…が、PHPでそれやると「大きな地雷」
が待ち受けております的なお話

わんくま同盟横浜勉強会 #07 割と有名(かもしれない)困ったコード $array = array(1,2,3); $ref = &$array[1];
$copy = $array; $copy[0] = 'a'; $copy[1] = 'b'; $copy[2] = 'c'; var_dump($array); var_dump($copy); array(3) { [0]=> int(1) [1]=> &string(1) "b" [2]=> int(3) } array(3) { [0]=> string(1) "a" [1]=> &string(1) "b" [2]=> string(1) "c" }

わんくま同盟横浜勉強会 #07 • PHPの変数の持ち方は、多分「普通に、真っ当にCやC++をやっている人達の感覚」とは、些か異なる感じです！！ • 実際に擬似コード書いて、見てみましょう

わんくま同盟横浜勉強会 #07 • 以下の２つのコードは同じ意味のコードです • …嘘です。正解は、次のPageへ。 <?php $i =
10; int main() { int i = 10; return 0; }

わんくま同盟横浜勉強会 #07 • 以下の２つのコードは同じ意味のコードです <?php $i = 10; int
main() { // XXX 本当は「zval構造体」 int *pi = malloc(sizeof(int)); *pi = 10; // こっちが「変数名」 int *i = pi; pi->refcount__gc ++; // return 0; }

わんくま同盟横浜勉強会 #07 • PHPでは、変数はまず「とある構造体に実体を作成」してから、「変数名と構造体へのポインタをひもづける」ことで、１つの変数を構成しています

わんくま同盟横浜勉強会 #07 zval構造体の形 struct _zval_struct { zvalue_value value; //
実際の値 zend_uint refcount__gc; // 参照カウンタ zend_uchar type; // 変数の型 zend_uchar is_ref__gc; // 「参照」か否か };

わんくま同盟横浜勉強会 #07 おまけ。 zvalue_value構造体 typedef union _zvalue_value { long
lval; /* long value */ double dval; /* double value */ struct { char *val; int len; } str; HashTable *ht; /* hash table value */ zend_object_value obj; zend_ast *ast; } zvalue_value;

わんくま同盟横浜勉強会 #07 もういっちょおまけ typedef unsigned int zend_object_handle; typedef struct
_zend_object_handlers zend_object_handlers; typedef struct _zend_object_value { zend_object_handle handle; const zend_object_handlers *handlers; } zend_object_value;

わんくま同盟横浜勉強会 #07 話を戻して…参照の前段階 • 前述の通り、PHPでは「変数名に紐尽くポインタ」と「実際の値が格納されているzval構造体」っていう２つの情報によって「１つの変数」が表現されています •
で…変数のcopyですが「コピーオンライト (Copy-On-Write) 」の技術が使われています。 – 「変更がおきてから」値をcopyする • 具体例

わんくま同盟横浜勉強会 #07 • 実体は作っていない <?php $i = 10;
$j = $i; int main() { // XXX 本当は「zval構造体」 int *pi = malloc(sizeof(int)); *pi = 10; // こっちが「変数名」 int *i = pi; pi->refcount__gc ++; int *j = pi; pi->refcount__gc ++;

わんくま同盟横浜勉強会 #07 • この状態で、$iまたは$jのどちらかで「値が変わったら」そのタイミングで、zval構造体の中身をcopyして「別の値」にします • っていうのがPHPの基本的なメモリ戦略です。 •
JavaScriptでも同じ持ち方をしているようですが、これやると「メモリを考えて無くても割と効率の良いメモリの持ち方が出来る可能性が高い」っていう、一定のメリットが以下略。

わんくま同盟横浜勉強会 #07 じゃぁ「参照」はなに？ • 「参照」にすると、is_ref__gcが１になるので、値を変更したときに「値が変わったらそのタイミングで、zval構造体の中身をcopyして別の値にします」が動かなくなります。 •
つまり「１度、変数を参照渡し」すると「その変数に連なるあらゆる変数群がすべて is_ref=1 となるために、全部連動して参照状態になります」 • ぶっちゃけ「鬼門」です。

わんくま同盟横浜勉強会 #07 • Cとかだと「この場所を把握しておきたい」で割と気軽にポインタを持ちますが、PHPでそれをやると「その場所の変数がis_ref=1になる」ので、思わぬ副作用が山盛り。 • その辺を意識して、再度、初手のコードを見て
みましょう。

わんくま同盟横浜勉強会 #07 割と有名(かもしれない)困ったコード $array = array(1,2,3); $ref = &$array[1];
$copy = $array; $copy[0] = 'a'; $copy[1] = 'b'; $copy[2] = 'c'; var_dump($array); var_dump($copy); array(3) { [0]=> int(1) [1]=> &string(1) "b" [2]=> int(3) } array(3) { [0]=> string(1) "a" [1]=> &string(1) "b" [2]=> string(1) "c" }

わんくま同盟横浜勉強会 #07 参照のまとめ • 「使うな」(笑 • ちなみに「ポインタ持ち回る」は、インスタンスやstringでは基本有効なのですが、intとかでは「極めてムダ」ですよね？
• PHP７(2015/11 リリース予定)では、NULL、 boolean、int、doubleは「参照カウンタとかなくなってスカラ値をダイレクトcopy」にする予定 – チューニングの一環です。結構早くなるようです。

わんくま同盟横浜勉強会 #07 落ち着いてきた…ような気がするPHP5 • なんだかんだあちこちから構文をガメたインスパイアしているので色々と構文も増えました – とはいえ、goto文は心の底から「いらない」
• 勿論「不満」なんざ言ってたら切りが無いのですが、最低限困らない程度には書ける構文がそろってきたと思います – 次は「構文に振り回される」番なのですが… • 勿論「最新バージョン」前提です(笑 – 現在5.6。せめて5.5使いましょう。

わんくま同盟横浜勉強会 #07 とはいえ「動的型付け言語」なので… • ちょっとだけ有名になった「2a問題」(命名) PHP驚愕の事実 if ('2a' ==
2) { ここ通る }

わんくま同盟横浜勉強会 #07 追加実験 if ('2a' == 2) { //
true if ("2a" == 2) { // true if ('a2' == 2) { // false if ('a2' == 0) { // true if ('22a' == 22) { // true if ('022a' == 22) { // true if ('-22a' == -22) { // true if (' 2a' == 2) { // 先頭に空白 true if (' 2a' == 2) { // 先頭にtab true if ('¥n2a' == 2) { // false if ("¥n2a" == 2) { // true if ("0x10" == 16) { // true if ("0x1a" == 26) { // true if ("0123" == 83) { // false if ("0123" == 123) { // true

わんくま同盟横浜勉強会 #07 • 何がおきてるのか？ – 比較の左右辺で型が違う場合「型を自動でキャストしてから」比較 – 数値vs文字の場合「文字を数値にキャストしてか
ら」比較するというPHPの仕様 • え～～… • PHPは、素晴らしく「型の厳密な」言語でございますっていうか「型を厳密にプログラマが意識しておかないといかん言語」でございます。

わんくま同盟横浜勉強会 #07 php.iniの恐怖 • 個人的に超絶気になるところですが • PHPには「php.ini」という設定ファイルがあって、その設定ファイルの設定によって「挙動が変わる」というステキな状況があります(笑
• 「エラー表示の状態」から「受け取った変数の文字コード自動変換」や挙げ句には「関数オーバロード：php.iniの設定によって関数の挙動が変わる(call先が変わる)」まで • iniファイルには注意しましょう

わんくま同盟横浜勉強会 #07 「もだんPHP」ってなにさ？ • よく界隈で聞く単語なのですが… • 「モダンPerl」「モダンC言語プログラミング」「モダンC++」「モダンJava」「モダンPython」「モダンJavaScript」まぁ色々あるようです
• PHP界隈だと何となく「5.4以前の古い文法を捨て去ろう」とか「新しい道具を積極的に取り入れていこう」とかなんとか以下略 • まぁこういう動きが出てくるのは、賑わいがでて良いことだなぁ、と思います(他人事)

わんくま同盟横浜勉強会 #07 フレームワーク移り変わり • いや実際、他言語でもそんなに「落ち着いて固定の１つ２つ」ってあるんですかね？ – Rubyは、Railsが物凄く強いですが •
PHP界隈では、古いのから新しいのまで、乱立したまま今でも新規介入があって、大変に賑やかなままです(笑 – ドポピュラーなところで「cakePHP」「symfony」あたりですかねぇ…他にも山盛りでありますが

わんくま同盟横浜勉強会 #07 実際の現場のレベル感 • 大変にバラエティに富んでおります(笑 • 「懐かしい」ところだと… – 「関数」はよく分からないから使わない
• クラスにおいては何をか言わんや – ソースコードは「ググってコピペするもの」であって、自分で書くものではない • もちろん「バリバリにOOPで書いている」現場も多々あります

わんくま同盟横浜勉強会 #07 現実として… • 「初心者に敷居が低い」ってのはある – なので、導入言語としては使いやすい – けど「意識しないと」低いまんま…
• セキュリティについて – 現在は「意識しているところ」は非常にがっつり • 「徳丸本」の存在はでかいと思われます • 案件量は多い – 小さいのから大きいのまで、幅広く – 単価も、最近わりと落ち着いてきました…多分

わんくま同盟横浜勉強会 #07 • 将来は？ – いやまぁ「すぐ消える」とか言われますが – それについては、COBOLの状況をご覧頂けるときっと以下略(笑
– 現実問題として「現在の財産(遺産)」を考えると、しばらくは案件量も豊富なまんまなんじゃないかなぁ、と。

わんくま同盟横浜勉強会 #07 純個人的雑感 • ツッコミ所の多い言語ではあるのですが – とはいえじゃぁ「ツッコミ所のない言語」があるのか？というと以下略
• なんだかんだ「落とし穴回避術」をちゃんと身に付けると、それなりに書けます(笑 • 些か「リッチなメモリ食い」とか気になりますが、現在のハードウェアの進歩＆PHP側の開発状況を見ていると、目くじらを立てるほどでも。

わんくま同盟横浜勉強会 #07 • 実績としては、個人的にも社会的にも「沢山」あるので、ハードなところでも十分に仕様に耐える事は可能だったりします • ヘイト溜めている人は「PHP」というよりも「PHPを使ってた案件」や「特定の個人やコー
ド」にヘイトを溜めているケースが多いのではないかなぁ、と(苦笑 – とはいえ「初心者に向いてる」が、(一定以降の)学習や成長にとって鬼門なのは割と事実…

わんくま同盟横浜勉強会 #07 まとめ • どちらかというと「綺麗さとか節操」よりも「使えるしいいぢゃん」な言語なので、使い方まちがえなければ便利です • とりあえず「教えやすい」し「学びやすい」し「案
件多い」ので。「とりあえず書けるようになった」後に気を抜かなければ、可愛い言語だと思います、はいｗ

PHP 来歴のトリヴィア

PHP 来歴のトリヴィア

More Decks by gallu

Other Decks in Programming

Featured

Transcript