«前の日記(2008年01月28日) 最新 次の日記(2008年01月30日)» 編集

Matzにっき

<< 2008/01/ 1 1. 年賀状
2. ゴビウス
3. [Ruby] ZSFA -- Rails Is A Ghetto
2 1. 新年会
3 4 1. The Mythical 5%
5 6 7 8 1. [言語] Substroke Design Dump
2. [言語] A programming language cannot be better without being unintuitive
3. [OSS] McAfee throws some FUD at the GPL - The INQUIRER
9 1. [言語] Well, I'm Back: String Theory
2. [言語] StringRepresentations - The Larceny Project - Trac
10 1. [Ruby] マルチVMでRubyを並列化、サンと東大が共同研究 − @IT
2. New Generation Chronicle:小飼弾−−35歳からのプログラミングこそ無上の至悦 - ITmedia エンタープライズ
3. ONLamp.com -- How Will History View Richard Stallman?
4. [Ruby] Ramaze: a Ruby framework that will amaze | Zen and the Art of Ruby Programming
5. [言語] REBOL 3.0 Alpha Public Release
11 1. [言語] Thanks Zed; Syntax matters; no more dumping stuff in Java; Quit pimple pimping Ruby; Scala warning
12 1. [Ruby] An Agile Way > 島根で Ruby と Agile : ITmedia オルタナティブ・ブログ
2. [言語] TIOBE declares Python as programming language of 2007! - comp.lang.python | Google グループ
13 1. [教会] 出番多し
2. [教会] マルコフ連鎖(もどき)
14 1. 風邪ひいた
2. [Ruby] Obie Fernandez: About Rails and Ghettos
15 16 17 18 1. 詐欺(未遂)
19 1. [教会] 掃除
2. X61 インストール問題
20 21 1. X61 with Linux 2.6.18
2. 梅田望夫さんとの対談(その2回目)
22 1. 取材
23 24 1. 地域情報化セミナー in 松江
2. 私は「信頼できる」人か?:ITpro
25 1. 取材
2. 講義
3. まつもとゆきひろと語る会
4. [言語] その文字列はセーフ? 本当は奥深いデコード処理 − @IT
26 1. 実家へ
2. ひげを剃った
3. [Ruby] James on Software: Ruby Reddit
4. [言語] Attacking PHP
27 1. 髭を剃った(2)
28 1. 散髪
2. asahi.com:副検事、特急列車「止めて」 松本駅乗り過ごし停車 - 社会
3. [Ruby] コミッタになった - まめめも
4. [OSS] NokiaがノルウェイTrolltechを買収へ、ソフトウェアを強化 | 経営 | マイコミジャーナル
5. [Ruby] ruby, java Job Trends | Indeed.com
29 1. [言語] PHP使いの反論
2. [言語] 安全なWebアプリのために言語ができること
30 1. ITPro Expo
2. 楽天ミーティング
3. 海外出張計画
31 1. ITPro Expo
2. 自分の経験の枠組みは自分で変えられるか? - アンカテ(Uncategorizable Blog)
3. [言語] やじうまWatch: 広く使われるプログラミング言語「PHP」を巡る議論に注目集中
>>

2008年01月29日 [長年日記]

_ [言語] PHP使いの反論

一般的に思われているのとは異なり、PHPはとても愛されている言語だ、と思う。

なにしろ、私がたまにPHPの良くない点を指摘すると、 たちまちホットエントリになる。またコメント欄にたくさんの反論をいただく。 びっくりだ。

それだけPHPという言語を愛している人やら、 PHPという言語の欠点を公に指摘されると自分自身がけなされたと感じる人が多い、 ということなのだろう。それはそれですばらしい。

しかし、一方で「指摘はもっともだ」というような声も散見される。 言語としての評価は分かれるということなのだろうか。

しかし、PHP使いの反論は、その多くがどうにも噛み合わない。 今後のためにも*1ちょっと分析して記録しておこうと思う。

たぶん、ここのPHPをHSPとかに置き換えても同じことが成立すると思う。

書いてないことへの反論・思いこみ

これが一番多い。たとえば、

  • どの言語でも安全でないプログラムは書ける
  • 「PHPを選ぶ初心者バーカ」とはなにごとか
  • Rubyなら初心者でも安心なのか
  • PHPを陥れるのはRubyの宣伝のため

えーと、幻を読むのは止めていただきたい。そんなこと書いてないじゃん。

どうやら、私はRubyという言語設計者なので 「他の言語を馬鹿にし、自分の言語を宣伝したくてうずうずしてる」という 脳内イメージが形成されているらしい。

が、もう15年も付き合っていて、必要なだけは十分に世間に知れ渡っているRubyを 今さら宣伝しても、私にはなんにもうれしくない。

「人は自分が持つであろう意図と動機を他人に見いだすのだ」と以前聞いたことがある。 とすると、これらの批判をする人たちはもし「自分の言語」を持ったとしたら 全力で他の言語をけなし、自分の言語を持ち上げるのだろうか。 というか、PHPが彼らにとっての「自分の言語」なのか、もしかして。やれやれ。

私は言語オタクとして、さまざまな言語の良いと思うところは良い、悪いところは悪いという 印象を自分の日記に記録する。公開しているんで読みたい人は読み、参考にできると思う人は 参考にする、それで良いと思う。

私がPHPを「イケてない言語」と発言しても、 たかがひとりのプログラマにそう言われただけじゃないか。 それでPHPユーザーが負け犬認定されるわけでもなし、 「そういうところもあるよね」と笑い飛ばせば良いと思う。

そうじゃない?

他の言語について知ってる?

言語を比較するためには他の言語についてのある程度の知識が必要だろう。 Perlを知らずしてスクリプト言語を深く語るのは難しいし、 Lispの知識なくRubyを深く語ることは難しい。 Pythonは? うーん、PythonにはPythonの知識だよね(笑)

たとえばPHPしか知らないとしたら、PHPの欠点を指摘されると自分のやり方全体が 否定されたと感じるのではないだろうか。

なんとなく、他の言語も知っているが諸般の事情でPHPを使う、 という人は「批判はわかる」と言っているような気がする。 たとえば「Rauru Blog >> 悪いのはPHP自体じゃないかもしれないけど」とか。例に出して悪いけど。

もちろん、セキュリティホール作りこむ人はどの言語でも作りこむ、ってのは真実ぢゃろう。しかし何と言うかだな、PHP には、そういう人を呼び寄せる(あるいは居付かせる)何かがある、んぢゃなかろうかね。 似たような話として、perl で use strict しない 文化圏 にもそういう何かがあるという気はしてる。

弾さんの 「PHPなめんな」と「(Perl|Python|Ruby)をなめんな」の違い でも指摘されているように 私のPHP批判に怒っている人はあまり外のことを知らないで怒っているような気がするな。

もちろん例外はあるだろうけど。

ずれた正論ですり替える

たとえば「どの言語でも安全でないプログラムは書ける」とかは正論だ。誰も否定できない。 正しいことを断言すると気分は良いだろう。また正論で反論するってことは 相手を間違い認定するのと同義なので、ますます「勝った」感が強くなる。

でも、ちょっと待って? 反論している相手(この場合は私)は 本当にそんな正論で論破されるようなことを主張しているの?

この場合だと、たとえば「PHPでは安全なプログラムは書けないが、Rubyなら書ける」とか 私が主張していたらこの反論は有効だ。でも、私はそんなこと言ってないよね。

私が書いたのは「Webアプリケーションをちゃんと書くのは難しいから、 Webアプリ向け言語に初心者に優しいという宣伝文句を使うのは良くない」ということである。 ここについては、別にRubyがいいとかなんにも書いてないよね。 また、「どの言語でも安全でないプログラムが書ける」ということと対立もしない。

ついでに言うと「どの言語でも安全でないプログラムが書ける」ということと、 「どの言語でも安全なプログラムを書くのは同じくらい難しい」とは まったく違う。でも、このふたつが同じことのような印象を与えがちだよね。 これって詭弁だと思う。

ここからはRubyの宣伝にもなっちゃうんでエントリを換えよう。

*1  今後もPHPの欠点を指摘するつもりなのか

_ [言語] 安全なWebアプリのために言語ができること

最初に繰り返して明言しておくが、 どんな言語だろうとなにも考えないで完全に安全なWebアプリケーションは書けない。 が、脆弱性を作りにくい言語(およびフレームワーク)機能というのはありえる。 たとえば

  • 安全なメモリ管理

    Cのような生のメモリ領域を使い、実行時の範囲チェックを行わない言語では 容易にバッファオーバーフローが起きる。RubyやPHPのように言語自体がメモリ管理を 行う場合(バグがない限り)安全。

  • パラメタ処理などの抽象化

    ミスによる脆弱性を起こしがちな、 環境変数や標準入力からデータを切り出してくる処理やクッキー処理を手動で行わない。

  • テンプレートシステムによる出力

    インジェクションなどの原因となる生の文字列操作でHTMLを構築することをできるだけ避ける。

  • ORマッパーによるデータベースアクセス

    インジェクションの原因となる生の文字列操作でSQLを構築することを避ける。

  • データフロー追跡

    RubyやPerlでは外部から入力された文字列にtaint(汚染)と呼ばれるマークがつく。 taintされた文字列から加工された文字列にもtaintがつく。 これをチェックすることで外部からの入力をチェック(サニタイズ)しないまま 危険な操作(ファイル名にする、systemを呼び出す、HTML/SQLに埋めこむ、など)を 禁止することができる。

  • 落とし穴の多寡

    たとえば、バイナリセーフ関数かそうじゃないかの違いのような 「落とし穴」に対して開発者が無関心かどうかは、最終的なプログラムの安全性に 影響する。言語ユーザが気をつけなくちゃいけないことも増えるしね。

もちろん、PHPでも各種フレームワークなどを最大限活用することで、 上のような機能を揃えることもできるだろう。そもそも「できない」って言ってるわけじゃない。 でも、CGI向け各種機能がビルトインされていて

htmlspecialchars($_GET['text']);

とかを普通にやっちゃう(しかも、それがゆえに初心者に優しいとかされてる)環境で 安全なソフトウェアを書くのは、他の言語に比べて大変困難であろう。

なんか間違ってる?


«前の日記(2008年01月28日) 最新 次の日記(2008年01月30日)» 編集