cakeが古くて、これからやる人はメリットがないとしても、元請けが採用していれば、 これを行うしかないのですね。 laravelはまだ新しいので、中小零細企業ではあまり使われていないのでしょうね。 そこにlararvelでないと、古くて今更やりたくないといえばそことの縁は切るしかないのでしょうね。 ＞＞＞ 現実問題としては、初級本一冊で業務に必要とされる能力がつくことはあり得ません。 具体的にはセキュリティ的な部分や、保守性、パフォーマンス、デプロイに関する部分など考えることは山ほどあります サーバ側はフロントのように、ほぼセキュリティ面は気にせずに作る事ができるので、 初級の知識でもきっちり動けば比較的仕事が請け易いですが、サーバ側は、inputに入力させる場合ほぼセキュリティ面も気にしないとけないので、 中級本を読破するくらいにならないと危なくて仕事にはつかえないのですね。 ＞＞＞ そのタイミングで請負契約（受託開発）として納品する想定であれば、 品質について責任を担保する必要があるため、 作法に沿って作ればある程度の品質が保てるフレームワークを利用する方がリスクが低いです。 （それでもリスクが大きいことは変わりないので、損害賠償に関する項目で上限を設定するなりしてリスク回避が必要です） そうですね。個人情報もれなどがあった時は、制作者が賠償をしないといけないのでしょうね。 やはりフロントとは比較にならない大変なリスクがあるのですね。 やはり、jsのように無料のプラグインや、ブログのソース、自分で作った物は、危なくて使えないので、 カラーミーショップやPHP工房などの有名なプラグインかフレームワークを使うしかないですね。 生のPHPをやっていっても自分で作った物は怖くて使えませんね。 自分でWEBサービスを作っていきたいとも思っているのですが、ツイッターなどの認証をAPIでりようしても、 ログイン情報を保存しないといけないのですよね。 すると、こちらでも個人情報漏れの賠償責任が発生するので、 最悪何十万も賠償しないといけないリスクがあるので、 自分の作ったサーバサイドのPHPは、ちょっとした投稿サイトで、 投降情報を加工して、DOM生成してページ上に表記する程度でも、 そのまま使うのはこわいですね。 問題ないか確認する方法は、自分で危険なソースコードをinputに入れてそのまま実行されないか、 確認するか、掲示板にソースコードを公開して、確認していただくしかないですね。 そのようにすればさすがに大丈夫でしょうが。 ＞＞＞ 将来的なエンジニアとしての需要いうと、 有名どころのフレームワークを全く使ったことがない/使えないエンジニアというのはかなり需要が限定されてしまうので（開発会社からの業務委託や、既存システムの保守などでは特に必要） 何らかのフレームワークを業務で使うという経験をどこかで積むことは非常に重要だと思いますね。 中小零細企業は、ちょっとした問い合わせフォームとショッピングカートくらいしか、サーバ側はほとんどないと聞いたことがあるのですが、 そうでもないのですかね。 このような元請けさんなら、生のPHPで有名どころのプラグインを使えばいい。 もっと高度なオリジナルの依頼も請ける場合は、lararvelをやるというイメージなのですかね。 ただフロントjsもvueかreactをやらないと仕事がほとんどないように、 phpもフレームワークをやらないとWEB制作ついでであれば、仕事もある物の、 もっと本格的なプログラマになりたい場合は、仕事がほとんどないのですね。

セキュリティに関しては、 https://www.ipa.go.jp/security/vuln/websecurity.html によくまとまっているので、一度目を通されることをお勧めします。 > cakeが古くて、これからやる人はメリットがないとしても、元請けが採用していれば、 これを行うしかないのですね。 > aravelはまだ新しいので、中小零細企業ではあまり使われていないのでしょうね。 そこにlararvelでないと、古くて今更やりたくないといえばそことの縁は切るしかないのでしょうね。 その通りです。 ただ、CakePHPは日本では特に採用されているケース（規模を問わず）が多いので、その保守作業や機能追加で需要は多くありますね。 今後、開発者としてどういった仕事をしていきたいのか、というところで学習や業務への技術採用の方向性は変わってくるかと思います。 > サーバ側はフロントのように、ほぼセキュリティ面は気にせずに作る事ができるので、 > 初級の知識でもきっちり動けば比較的仕事が請け易いですが、サーバ側は、inputに入力させる場合ほ> ぼセキュリティ面も気にしないとけないので、 > 中級本を読破するくらいにならないと危なくて仕事にはつかえないのですね。 何をもって中級とするかは微妙なところですが、専門家として仕事を請け負う以上は「知らなかった」では済まされない事が多くあるという事ですね。 上記のケースでは、PHPそのものの知識以外にサーバーOSの選定や設定、それが動くインフラの設定や選別等も必要になってきます。 > そうですね。個人情報もれなどがあった時は、制作者が賠償をしないといけないのでしょうね。 > やはりフロントとは比較にならない大変なリスクがあるのですね。 > やはり、jsのように無料のプラグインや、ブログのソース、自分で作った物は、危なくて使えないので、 > カラーミーショップやPHP工房などの有名なプラグインかフレームワークを使うしかないですね。 賠償責任については契約次第です。 ざっと考えると、以下の様な雇用形態があり、それぞれリスクとリターンが変わってきます。 ・完全な売り切り（単純な販売契約） ・請負契約 ・準委任契約 ・一時的な雇用（アルバイト） 有名どころの既製品を使ったとしても、どのような責任が発生するかは契約によって定義されます。 > 生のPHPをやっていっても自分で作った物は怖くて使えませんね。 最低限、責任を取ってくれる人が別にいる状態じゃないと、初級本を一冊終えたタイミングでは非常に怖いと思います。 > 自分でWEBサービスを作っていきたいとも思っているのですが、ツイッターなどの認証をAPIでりようしても、 > ログイン情報を保存しないといけないのですよね。 そこは設計次第で、Twitterなどのソーシャルログインで認証を行う場合はログイン情報はこちらで保持することはありません。 （住所や電話番号など、AOuthで取得できない情報を保持することはよくありますね） > すると、こちらでも個人情報漏れの賠償責任が発生するので、 > 最悪何十万も賠償しないといけないリスクがあるので、 「最悪」のケースは何十万では済まなくて、いくつか桁が増えたり、刑事罰の対象になるようなケースでしょうね。 > 自分の作ったサーバサイドのPHPは、ちょっとした投稿サイトで、 > 投降情報を加工して、DOM生成してページ上に表記する程度でも、 > そのまま使うのはこわいですね。 そうですね。 認識はとても正しくて、「何が怖いか」を把握出来ないのであれば非常に怖いです。 > 問題ないか確認する方法は、自分で危険なソースコードをinputに入れてそのまま実行されないか、 > 確認するか 「何が問題か」を確認する方法がわかっているのであれば、生で作ってもそこをつぶせるので大丈夫です。 わからないのであれば、そもそも危険なコードを特定できないので確認自体が出来ません。 > 掲示板にソースコードを公開して、確認していただくしかないですね。 > そのようにすればさすがに大丈夫でしょうが。 これはだめです。 掲示板で公開したところで、誰一人責任をもってチェックしてくれるわけではないので、リスクが消えることにはなりません。 誰か責任を取ってくれる第三者に対価を支払ってチェックしてもらう必要があります。 （一番よくあるケースは、被雇用者として開発者になり、責任は上司が持つというケースです。そうじゃない場合は、契約で責任範囲を制限したり、第三者機関による脆弱性診断（一番安くて数十万～ソースコードのチェックまでするなら桁が増える）に依頼したりします） 品質が担保できない（コスト的や技術的に）のであれば、契約条件に品質の担保をしない旨条件をねじ込まなければなりません。 > 中小零細企業は、ちょっとした問い合わせフォームとショッピングカートくらいしか、サーバ側はほとんどないと聞いたことがあるのですが、 > そうでもないのですかね。 > このような元請けさんなら、生のPHPで有名どころのプラグインを使えばいい。 > もっと高度なオリジナルの依頼も請ける場合は、lararvelをやるというイメージなのですかね。 そこはどの辺をターゲット（地方や働き方・契約形態も含め）としてお仕事をするかというところでしょうね。 > ただフロントjsもvueかreactをやらないと仕事がほとんどないように、 フロントエンジニアとしてはvueやreactは必須に近いと思いますが、 「中小零細企業」でvueやreactを採用しているケースはほとんどないと思いますよ。 これも、想定されているケースが少し広い様に思います。 > phpもフレームワークをやらないとWEB制作ついでであれば、仕事もある物の、もっと本格的なプログラマになりたい場合は、仕事がほとんどないのですね。 「開発企業からの仕事を求めた場合」はそうなると思います。 そうじゃない場合は営業力次第です。

ご回答ありがとうございます。 ＞＞＞ ただ、CakePHPは日本では特に採用されているケース（規模を問わず）が多いので、その保守作業や機能追加で需要は多くありますね。 今後、開発者としてどういった仕事をしていきたいのか、というところで学習や業務への技術採用の方向性は変わってくるかと思います。 cakephpは海外ではオワコンでも日本ではまだlararvelより圧倒的に多く主流なのですね。 ただこれからやる人があえて選びたくないというのも間違っていないでしょうから、 理想はlararvelをやってlararvelをやっている所から仕事を請けることでしょうね。 ＞＞＞ ・完全な売り切り（単純な販売契約） ・請負契約 ・準委任契約 ・一時的な雇用（アルバイト） 最後以外はすべて個人情報流出や、問い合わせフォームが届かなかった場合の 損害賠償があるのでしょうね。 ただその場合も契約で、いただいた料金以上の損害賠償は出来ません。 と記載しておけば、法律上これ以上つまり数百万を払わないといけないようなことは、 ないと考えてよいでしょうか？ また、自分でWEBサービスを作った場合も、例えば有料にするとユーザーから、 使えない日があった、などで訴えられる可能性があるのですね。 それだと、契約欄に払っていただいた料金以上の賠償で出来ませんと記載しておかないと、 いけないのでしょうね。 このように記載しておけば、制作と違って、何百万も賠償することはないでしょうが。 ただ、認証をツイッターなどのAPIで行えば一切個人情報を預からずに出来るので、 この形のみにすれば、サイトを改ざんされてウイルスに感染でもしないかぎり、 損害賠償請求されることはなさそうですね。 このあたりは、サービス作成時の契約のひな形などがサイト上にあるので、 それをコピペして、上記を追加すれば、制作と違ってまず何十万も損害賠償をされることはない と考えてよいでしょうか？ 話がそれて恐縮ですが非常に気になる所ですので、お忙しいところ恐縮ですがよろしくお願いします。 ＞＞＞ 認識はとても正しくて、「何が怖いか」を把握出来ないのであれば非常に怖いです。 直請けでphpの仕事をうけることは、やめたほうがいいですね。 PHP工房の導入程度なら、大丈夫でしょうが。 下請けで監督責任者がいる場合はそこで確認してくれるのでいいですね。 難しいのはWEBサービスですね、無料で、ツイッターで認証すれば ほぼリスクはない気がしますが、有料にしたり、閲覧者の入力情報を、 受け取ってphpで処理するとなると損害賠償や改ざんウイルス騒動などが 起きる可能性はありますね。 それを気を付けるためには、最低限生のPHPで作ったソースを、ここなどでどこか問題なさそうか見ていただくか、 できればlaravelを使って、そこに自分のオリジナルのコードを自分で一切記載しないしかないでしょうか？ もちろん勉強はします。 >>> フロントエンジニアとしてはvueやreactは必須に近いと思いますが、 「中小零細企業」でvueやreactを採用しているケースはほとんどないと思いますよ。 これも、想定されているケースが少し広い様に思います。 jsの方はphpとちがい中小零細企業はほとんど、jqueryか生なんですね。 phpはなぜか中小零細企業でも生ではなく、cakiphp何ですね。

> 最後以外はすべて個人情報流出や、問い合わせフォームが届かなかった場合の 損害賠償があるのでしょうね。 一般的には、請負契約以外ではよほどの重過失や故意によるバグの作り込みが無い限りは結果に対する損害賠償請求は難しいと思いますよ。 請負契約でも瑕疵担保期間や検収条件を明記して、責任範囲が無制限にならない様にします。 > ただその場合も契約で、いただいた料金以上の損害賠償は出来ません。 > と記載しておけば、法律上これ以上つまり数百万を払わないといけないようなことは、 > ないと考えてよいでしょうか？ ＊法律については専門家では無いので話半分で聞いてくださいね。 どちらかが一方的に有利になるような契約は裁判で無効になるケースもありますし、 専門家としての善管注意義務は発生するはずですが、 対価と釣り合っていれば、一般的にはYESとなるはずです。 > また、自分でWEBサービスを作った場合も、例えば有料にするとユーザーから、 > 使えない日があった、などで訴えられる可能性があるのですね。 > それだと、契約欄に払っていただいた料金以上の賠償で出来ませんと記載しておかないと、 > いけないのでしょうね。 > このように記載しておけば、制作と違って、何百万も賠償することはないでしょうが。 そうですね。 基本的にはそうですが、訴えられた場合は裁判によって決められます。 > ただ、認証をツイッターなどのAPIで行えば一切個人情報を預からずに出来るので、 > この形のみにすれば、サイトを改ざんされてウイルスに感染でもしないかぎり、 > 損害賠償請求されることはなさそうですね。 個人情報という観点のみで行けば、正しい認識だと思います。 > このあたりは、サービス作成時の契約のひな形などがサイト上にあるので、 > それをコピペして、上記を追加すれば、制作と違ってまず何十万も損害賠償をされることはない > と考えてよいでしょうか？ 基本的にはそうですが、 問題があっても雛形を誰かが責任を持って配布している訳ではないので （配布サイトにもその旨記述があるはずです） 個人的には最初くらいはお金を払って法律の専門家に相談すべき内容だと思います。 > それを気を付けるためには、最低限生のPHPで作ったソースを、ここなどでどこか問題なさそうか見ていただくか、 > できればlaravelを使って、そこに自分のオリジナルのコードを自分で一切記載しないしかないでしょうか？ > もちろん勉強はします。 Laravelやフレームワークを使ったとしても、脆弱性を作り込むことは簡単に出来てしまいますし、teratailで質問したところで誰も責任は取ってくれないので、根本的な解決にはなりません。 また、サーバ設定が問題でセキュリティに問題が発生することもよくあります。 （契約論的な部分は前述の通りなので置いておくとして） 対価を支払って信頼出来るエンジニアに添削してもらうとか、 脆弱性診断サービスやツールを使ってみるとか、 先述のIPAのチェックシートでチェックしてみるとか、 そういう方向性かなと思います。 方向性は違いますが、WAFを導入してインプットの時点で攻撃を防ぐというのも一つの有効な手段ですね。 > jsの方はphpとちがい中小零細企業はほとんど、jqueryか生なんですね。 > phpはなぜか中小零細企業でも生ではなく、cakiphp何ですね。 中小零細企業で実際にCakePHPの仕事が多いかどうかは知らないのですが、 javascriptのフレームワークとPHPのフレームワークでは単純に歴史的経緯や、 担当する役割が違い、導入コストや扱える技術者の数も違うので 普及度合いが違うのは自然なことだと思いますよ。

ここにそのまま利用できる規約があるのですが、 これを使っても、不正アクセスで改ざんされて閲覧者さんがウイルス感染すると、 損害賠償請求されるリスクがあるのですかね。 yahooとかもそのような問題を起こしていますが、損害賠償請求されたのでしょうか？ 弁護士も公認しているようです。 http://kiyaku.jp/hinagata/gp.html もしそうなら怖くてこのサイトのような投稿サイトでさえも、 相当詳しくないと危険で公開できませんね。

> ご利用の際の注意事項 > このサイトで配布しているひな型は、あくまでも一例となっておりますので、適用するWebサイトやサービスの実態と異なる箇所や、不足している内容は、適切に追加・修正・削除してご利用ください。> > 不安な場合は、法律の専門家に相談をすることもお勧めします。なお次の2点は空欄になっていますのでご注意ください。 とあるように、作成者が専門家であることと、責任を取ってくれるかは別問題です。 （実際問題として、ほとんどのケースで問題ないとは思いますが） 事業としてサービスを公開する以上は相応の責任が発生します。 > もしそうなら怖くてこのサイトのような投稿サイトでさえも、 > 相当詳しくないと危険で公開できませんね。 はい。 「顧問弁護士」というサービスが存在したり、法務部門が社内に存在したりするのはそういう理由で、 自社サービスを公開するのであれば、デザインをしたりコーディングをしたりするのと同様に必要なコストです。 （小規模ITベンチャー向けの顧問弁護士サービスなどもあり、非現実的な金額感ではないです） もちろん、「雛形の利用でほとんどのケースが大丈夫だろうから行っちゃえ」という判断もアリで、そこはリスクとコストの兼ね合いで経営判断を行うことになりますね。

http://ameroad.net/?m=m_kiyaku ここのように個人のエンジニアがやっているWEBサービスはたくさんありますが、 このような所は、何十万もの損害賠償請求を覚悟で、なんとかなるだろとやってしまっているという事ですね

そうかもしれませんし、専門家がサポートしているのかもしれませんし、何も考えてないのかもしれません。 それは当事者にしかわからないことで、そのリスクは当事者が負うものです。 ただ、会社組織の場合は仮に何億負債が発生したとしても、 会社を潰しちゃえば原則としては代表や役員に債務が発生することは無いので、小規模な会社ほど「大丈夫だろう」の敷居は低いです。 ＊ある程度以上の規模の会社なら法務部門や顧問弁護士が、より適切な尺度で「大丈夫だろう」の判断を行います。

＞＞＞ ただ、会社組織の場合は仮に何億負債が発生したとしても、 会社を潰しちゃえば原則としては代表や役員に債務が発生することは無いので、小規模な会社ほど「大丈夫だろう」の敷居は低いです。 このサイトはクレイジーワークの村上氏の会社なので、何かあっても会社をつぶしてしまえば、村上氏個人は何の賠償もせずに牢獄行もないので最悪つぶせばいいかと気軽に行えるのですね。 ところが法人化していないフリーランスの場合は、個人が損害賠償請求されるので個人が破産宣告しないといけなくなってしまうのですね。

規約には、有料の場合は、払っていただいた金額分、無料の場合は無料ですので、損害賠償請求されても、損害賠償はしないものとすると記載して、チェックボックスにチェックさせても、 ウイルス感染個人情報漏れが起きれば、このような契約は無効となり損害賠償請求されるのですね。

はい。 私の認識としてはそんな感じです。 完全を求めるのは難しいですし、都度都度専門家の力を借りたりしながらリスクとリターンとのバランスで判断していくしかないです。