JSON文字列のエスケープは手書き置換で組まない:JSON.stringifyに任せる理由を手を動かして確かめる ログやコード片をJSONの値に埋め込むとき、ダブルクォートや改行を自前の置換で組むと制御文字やサロゲートペアで壊れる。JSON.stringifyの結果からクォートを剥がすだけで正しいエスケープが得られることを、壊れる例と一緒に手元で確かめる。 2026-07-15 プログラミング #JavaScript #実装 #JSON #文字列処理
SonicWall SMA1000のSSRF+コードインジェクション連鎖(CVE-2026-15409/15410)を理解し、自組織の露出を確かめる 2026年7月14日にCISA KEVへ追加されたSonicWall SMA1000のゼロデイ2件。未認証SSRF(CVE-2026-15409, CVSS10.0)と認証後コードインジェクション(CVE-2026-15410)の連鎖を整理し、自組織の管理面がインターネットから到達可能かを外形から安全に確認する手順をまとめる。 2026-07-15 クラウド・インフラ #ネットワーク #セキュリティ #CVE #脆弱性
UUID v7を自前実装する:時刻順キーでインデックス断片化を減らす仕組みを手を動かして確かめる UUID v4をランダムな主キーに使うとインデックスが断片化しやすい。先頭にタイムスタンプを持つUUID v7を数十行で実装し、なぜ挿入順に並ぶのか(同一ミリ秒の注意つき)を手を動かして確かめる。 2026-07-14 プログラミング #JavaScript #実装 #データ設計 #パフォーマンスチューニング #データベース
libssh2の未認証RCE(CVE-2026-55200):静的リンクまで含めて影響範囲を棚卸しする libssh2 1.11.1以前の境界外書き込み(CVE-2026-55200)は悪意あるSSHサーバからの未認証RCEに至り得る。厄介なのは静的リンク。dpkg・ldd・stringsで自分の環境の影響範囲を実際に洗い出す手順。 2026-07-14 クラウド・インフラ #トラブルシューティング #curl #セキュリティ #CVE #Linux
捏造セールをビルドで止める:静的サイトの「断定価格+出典必須」検証ゲートを正規表現で作る セール速報サイトで一番怖いのは「実在しない割引を断定してしまう」こと。断定的な価格表現を検知し、確認日と出典URLが揃わない記事はビルドを落とす検証ゲートを、依存ゼロのNodeで組む。 2026-07-14 開発ツール・効率化 #Node.js #品質保証 #静的サイト #コンテンツ設計 #正規表現
npmサプライチェーン汚染(@tanstack/Nx事件)後にlockfileを監査する具体手順 正規のOIDCトークンで悪意あるnpmパッケージが公開される事件が続いた。自分のプロジェクトに汚染バージョンが混入していないか、npm ls・audit signatures・lockfile検査で確かめる手順を手元で動かす。 2026-07-13 開発ツール・効率化 #セキュリティ #npm #サプライチェーン #lockfile
「3の倍数と3が付く数字でアホ」ナベアツのロジックを実装して30万問題を確かめる Xでバズった「数え続ける世界のナベアツbot」。3の倍数か3を含む数でアホになるルールを実装し、なぜ30万台で約17年もアホが続くのかを実際に数えて検証する。 2026-07-13 プログラミング #Python #JavaScript #文字列処理 #アルゴリズム
SMS・位置情報QRコードをブラウザだけで作る仕組み(SMSTO/geo URIとqrcode.js) 「読み取るとSMS作成画面が開く」「地図アプリでその地点が開く」QRコードは、SMSTO/geo というURIスキームをqrcode.jsでエンコードするだけで作れる。サーバー不要でブラウザ完結の実装を手元で動かす。 2026-07-13 プログラミング #JavaScript #QRコード #静的サイト #URIスキーム
SQLite の JSONB と ->> 演算子で JSON を速く扱う SQLite 3.45 で入った JSONB は、テキストJSONを毎回パースし直さないバイナリ表現。-> と ->> 演算子、jsonb() 関数、生成列インデックスまで、sqlite3 CLIで実際に動かして速く扱う勘所をまとめる。 2026-07-12 プログラミング #JSON #SQLite #JSONB #データベース #SQL
LiteLLM の SQL インジェクション CVE-2026-42208 を理解して検知・緩和する LLM APIを中継するAIゲートウェイLiteLLMに、認証キー検証のSQLインジェクション(CVE-2026-42208, CVSS 9.8)が見つかった。何が起きるのかを最小コードで再現し、自分の環境の確認とアップグレードまでを実際のコマンドで示す。 2026-07-12 AI・機械学習 #セキュリティ #CVE #LiteLLM #SQLインジェクション #AIゲートウェイ