RubyでCGI・入門編

Web掲示板やブログの編集等、文字情報の受け渡しと保存が必要になります。Webページのフォームに書き込んだ内容を送信して、CGIにて受け取り、それを保存します。データはファイルの形で保存しますが、案件ごとにファイルを作成するよりも、データベースを活用すると便利です。

仮に、件名、本文、パスワードの３件を書き込んで送るフォームを作ってみましょう。testpage.htmlの内容を下記に書き換えて、FTP転送しください。
なお、フォームはタグを知らなくても、Nvuを使うと簡単に編集できます。

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html lang="ja">
<head>
  <meta content="text/html; charset=Shift_JIS" http-equiv="content-type">
  <title>testpage</title>
</head>
<body>
<h1>テストページ</h1>
<p>世界のみなさん、こんにちは。</p>
<form method="POST" action="hello.cgi">
<p>件名：
<br><input type="text" name="kenmei" value="これはテストです" size="72"></p>
<p>パスワード：
<br><input type="password" name="pass" value="" size="20"></p>
<p>本文：
<br><textarea name="honbun" cols="72" rows="3">
こちらに、ご記入願います。
</textarea></p>
<p><input type="submit" name="btn" value="送信します"></p>
</form>
</body></html>

• 一般に method="POST" は携帯端末では使えません。携帯端末用には method="GET" としますが、文字総数が半角英数にして256文字程度迄に制限されます。
• action は、データの送り先です。
• name は、データにつけられた名前で、文字として半角英数しか使えません。数字をnameの先頭に使うことはできません。
• value は、送信するデータのデフォルト値です。
• submit ボタンは、必要ないのですが、「送信はボタンをクリックするものだ」と思い込んでいる人が多いので、オマケで付けてあります。本来はボタンがいくつかあって、その中の一つを選んで押すという使い方をします。
• フォームに関する詳細は解説ページをご覧ください。

ブラウザにて、表示を確認してください。

method="GET" の場合は ENV['QUERY_STRING'] を分解・解析して、容易にデータを受け取ることができますが、method="POST" の場合は、簡単ではありません。よって、この面倒な部分をやってくれる道具を読み込んで使ってみましょう。hello.cgi を下記のように書き直して FTP 転送してください。

#!/usr/local/bin/ruby -Ks
require "cgi"
h = CGI.new
puts "Content-type: text/plain;charset=Shift_JIS"
puts
puts "●受け取ったフォームデータです。"
puts
puts "件名："
puts h['kenmei']
puts
puts "パスワード："
puts h['pass']
puts
puts "本文"
puts h['honbun']

• 文字コードShift_JISで日本語を扱うので、#!/usr/local/bin/ruby に起動オプション -Ks が追加されます。
• 2-3行目で、送られてきたデータを、ハッシュの形で「h」に格納します。
• require はクラスの読み込みです。プログラムのなるべく前(上)の方に記述します。ここでは、"cgi" を使います。昔は、"cgi-lib" が使われていたのですが、今は使いません。 ⇒詳細：CGI
• h = CGI.new により、送信フォームの中で、name="kenmei" の属性で送られてきたデータは、h['kenmei'] として、読み取られます。
• 万が一、受け取った文字データが%記号を多く含んだ暗号に文字化けしてしまう場合は、require "cgi"の次の行に、 require 'uri/common' と、記述を付け足し、文字化けする文字列が仮に str だとするなら、 str = URI.unescape(str) としてください。これで文字化けが解消します。　 ⇒詳細：URI

ブラウザにて、データを送信して動作を確かめてみてください。

送られてきたデータを保存する上で重要な点は、大まかに下記の４点が考えられます。

1. 保存されたデータは、なるべくオリジナルのデータに復元しやすいこと。蓄積された情報を整理したり再利用したりできるようにするために必要。
2. セキュリティが考慮されており、悪ガキどもの出来心を誘わないこと。
3. 読み書きがすみやかに支障無く行われ、「同時書き込み」等へのアクシデント対策がとられていること。
4. 雷によるサージや、突然の停電や、おちゃめさんがサーバーのコンセントを抜く等の物理的障害にも強いこと。

まずは、ともかくデータを保存してみましょう。先に古典的な方法を紹介します。次にモダンな方法を紹介します。

テキストデータのnameとvalueをタブで区切って保存して、それを新たに読み込んで表示してみます。hello.cgi を以下のように書き換えてFTP転送してください。

#!/usr/local/bin/ruby -Ks
require "cgi"
g = CGI.new # フォームからのデータの受け取り
DataFile = "./datasumple.txt" # データのファイル名
NameList = ['kenmei','pass','honbun'] # 保存するキー(nameの値)のリスト。

# データの保存
f = open( DataFile, "w" )
for key in NameList do
  # データを加工してファイルに書き込み（Win改行⇒Mac改行⇒改ページ⇒UNIX改行⇒隠し文字¥0に置き換え。）
  f.printf "%s¥t%s¥n", key, g[key].gsub(/¥r¥n/,"¥n").gsub(/¥r/,"¥n").gsub(/¥f/,"¥n").gsub(/¥0/,"").gsub(/¥n/,"¥0")
end
f.close

# 先ほど保存したデータの読み出し
h = Hash.new
open( DataFile ).each do |line| # １行ずつ取り出して、値を line に写し取ります
  key,val = line.split(/¥t/,2)  # 各行最初のタブでkeyとvalに分割します。
  h[key] = val.gsub(/¥0/,"¥n")  # 隠し文字¥0を改行¥nに戻して、ハッシュに格納
end

# Webページに出力
puts "Content-type: text/plain;charset=Shift_JIS"
puts
puts "●保存して読み出したデータです。"
puts
puts "件名："
puts h['kenmei']
puts
puts "パスワード："
puts h['pass']
puts
puts "本文"
puts h['honbun']

• NameList：予め、保存するべきnameのリストを定めておくことをお勧めします。g.keys で全部のnameの値を拾えますが、イタズラ防止のため、決めておいた方が無難です。
• str.gsub( /A/, B ) は、文字列 str の中で、Aにマッチする部分を全て B に置き換えます。　⇒正規表現
• 改行コード変換について：¥r¥nはWindows、¥rはMac、¥nはUNIXの改行です。¥fは改ページです。データを開くときの都合で、全ていったん¥0に変換して保存します。置換の順番に注意。
• "¥0"はヌル文字と呼ばれ、文字の長さは１と数えられるのに、表示されない文字です。¥nや¥t同様に、" "で挟まれた内側で有効となります。ニル文字とは言いません。
• .split(/¥t/,2) としておくと、最初のタブに関してだけsplitして、以降は無視されます。

ブラウザにて動作を確認したら、FTPにて、保存されたファイル(datasumple.txt)の内容も確認してください。

便利な道具を使えばさらに簡単になります。文字列、配列、ハッシュなど、いわゆるオブジェクトと呼ばれるものを、そのままの状態で保存する「PStore」というツールがあるので使ってみましょう。全てのデータをみんなまとめて一つのデータファイルの中に格納できてしまうので、ファイルの配置や管理やらで悩む必要が無くなります。さらに、データの出し入れの効率が上がるから、検索等に要する時間が少なくなるものと思われます。試しに、hello.cgi を以下のように書き換えてFTP転送してください。

#!/usr/local/bin/ruby -Ks
require "cgi"                 # CGIを呼び出す
require "pstore"              # PStoreを呼び出す
DataFile = "./pstoretest.dat" # データのファイル名。拡張子は.datに限らなくてもよい
DataID = Time.now.to_i.to_s   # データの受信ごとに１秒刻みで違う名前にしてみた
g = CGI.new                   # フォームからのデータの受け取り

# データを保存します
dbw = PStore.new DataFile     # データファイルに取手を付ける
dbw.transaction do            # データの読み書きを行う（dbw.transaction do 〜 end）
  dbw[ DataID ] = g    # フォームからのデータを「DataFile」の中に保存
end

# 先ほど保存したデータを取り出します（DataIDを変えれば、古いのも取り出せます）
dbr = PStore.new DataFile
dbr.transaction do
  # 読み出しながら、Webページに出力
  puts "Content-type: text/plain;charset=Shift_JIS"
  puts
  puts "●保存して読み出したデータです。"
  puts
  puts "件名："
  puts dbr[ DataID ]['kenmei']
  puts
  puts "パスワード："
  puts dbr[ DataID ]['pass']
  puts
  puts "本文"
  puts dbr[ DataID ]['honbun']
  puts
  puts "●これまでに保存されている受信データの番号は、"
  puts dbr.roots.join(",")
  puts "です。"
end

• DataID：この例では、たまたま数字にしたけれども、ハッシュの引数に使える文字列ならば何でもよい。
• PStore.new が仮に dbw であるとするとき、dbw.transaction do 〜 end で挟まれた部分でデータの読み書きがなされます。
• 受信データの時限バックアップを取っておけば、何らかの障害が起きたときに、受信データに問題がなかったかどうか、その原因を探ることができます。
• 画像データ等は、検索の対象とはならないから、一緒に保存しない方が良いと思われます。画像を置いた場所を保存しておけばよろしいかと。
• 中には保存できないタイプのデータもあるようです。十分なテストを重ねてください。
• PStoreの使い方の詳細に関してはマニュアルをご覧ください。　⇒PStore
• マニュアルによると、「PStore は Ruby のバージョンによってデータ互換性がなくなることがある」とのことです。

ブラウザにて動作を確認してください。

もっとシンプル確実に、文字データのみをハッシュのようにして保存できる DBM, GDBM という選択肢もあります。　⇒DBM,GDBM
DBM を使ってみましょう。 但し、残念ながら手許のWindowsPCでは使えないようです。サーバー内でなら動作します。 下記内容のhello,worldをいろいろ書き換えてFTP転送し、Terminalより実行してみてください。内容が、ファイルtest.dbに保存されて、どんどん増えていきます。

#!ruby -Ks
require 'dbm'
db = DBM.open("test", 0600) # データベースの名前をtestとしました。ファイル test.db に保存されます。
db['hello'] = "world"       # これだけで保存されます。
db.each do |key, value|     # 保存された値を全て呼び出してみます。ハッシュの扱いと同じ。
  print key, "=>", value, "\n" 
end
db.close

PStoreを使った簡単な掲示板です。全く基本的な機能しかありません。（つまり、このままでは実用にはなりません。）

集合論の知識を生かして、表(table)に書いたデータを上手にブロックの組み合わせに分けると、冗長さが省かれれて格段にデータ管理の効率が向上することが知られています。table 同士の関係という意味で、リレーショナルです。この方法を扱うのがSQLと呼ばれるデータベース専門の言語です。

このSQL言語を使って、さらに、多方向から同時に殺到するデータの読み書きや、物理的な突然のトラブルからの復旧に強くなる専門のソフトウエアが開発されています。フリーで入手できるものとして、PostgreSQLやMySQL等が有名です。これらのソフトをRubyから操作してやることで、システムの信頼性向上や検索速度の飛躍的なアップが望めます。

よって、掲示板やブログサイトなどのCGIを構築するにあたり、データはリレーショナルデータベース専用のソフトで管理することが理想的です。Ruby に装備されている、PStore はバージョン間の互換性や動作速度に関する不安を抱えているので、できればPostgreSQL等の専用ソフトを使いたいのですが、筆者はまだapサーバーの中にSQL関連のアプリケーションソフトを見いだしていません。どこかにあると思うのですが…

参考：
TECHSCORE - SQL - http://www.techscore.com/tech/sql/
Postgres(Ruby PostgreSQL 拡張モジュール) http://www.postgresql.jp/interfaces/ruby/index-ja.html
MySQL/Ruby http://www.tmtm.org/mysql/ruby/

掲示板の削除パスや、ブログの管理用パスワードなど、パスワードの管理が必要になる場合があります。 容易には見られない場所に保存しておいたつもりでも、僅かな隙をついて盗み見られてしまう可能性もあります。 そんなときに、パスワードが暗号化して保存してあれば、当面の間の時間稼ぎになります。

暗号化のサンプルを用意しました。下記のスクリプトをRDEの上の窓に貼付けて試してみてください。
又は、適当なファイル名を付けて、FTP転送し、Terminalにて、ruby ファイル名。

# パスワードの暗号化
putpass = "hello" # 設定されたパスワード
# saltは、半角英数と./の中からランダムに選んだ２文字（例：i8,jD,9l,...）
salt = [rand(64),rand(64)].pack("C*").tr("\x00-\x3f","A-Za-z0-9./")
savedpass = putpass.crypt(salt) # 暗号化
puts savedpass # この文字列を保存しておく

# パスワード照合
entpass = "hello" # 照合用に入力されたパスワード
if entpass.crypt(savedpass) == savedpass then
  puts "OK"
else
  puts "NG"
end

• putpassの値と、entpassの値が一致すれば「OK」、一致しなければ「NG」が出力されます。helloを別の文字列に書き換えてお試しください。
• savedpassが保存されるべき暗号化されたパスワードです。
• 稀に、システムによっては使えない場合があるそうです。私たちのapサーバーでは使えます。

メソッドを作っておくと便利です

#!ruby -Ks
# 暗号生成メソッド
def ango(passwd)
  srand
  salt = [rand(64),rand(64)].pack("C*").tr("\x00-\x3f","A-Za-z0-9./")
  return passwd.crypt(salt)
end
# 暗号照合メソッド
def syogo(entpass,savedpass)
  entpass.crypt(savedpass) == savedpass
end
# チェックメソッド
def checkpass(passwd)
  if passwd == nil or passwd == "" then
    puts "エラー：パスワードが入力されていません。"; exit 0
  elsif /[^a-zA-Z0-9]/ =~ passwd then
    puts "エラー：入力されたパスワードに不適切な文字が含まれていました。"; exit 0
  end
end
# 実行
STDOUT.sync = true
puts "登録用パスワードを入力してください"
putpass = gets.chomp
checkpass(putpass)
savedpass = ango(putpass)
puts "パスワードが暗号化されました" , savedpass
puts "照合用パスワードを入力してください"
entpass = gets.chomp
if syogo(entpass,savedpass) then
  puts "パスワードは一致しました。"
else
  puts "パスワードは一致しませんでした。"
end

厳密には「暗号化」という呼び方は正しくありません。暗号は鍵のような仕組みを使って解読できなければなりません。cryptを使ったやり方は、いわばデタラメなゴミを混ぜてかき回すことをしているので、「総当たり」以外の手段で復元することは不可能です。cryptは「粉飾」とか「隠蔽」とか言った方が的確かもしれませんが、誰もそうは呼びません。

参考：cryptによる暗号化の情報

• http://www.ruby-lang.org/ja/man/index.cgi?cmd=view;name=String#crypt マニュアル：cryptの使い方
• http://www.linux.or.jp/JM/html/LDP_man-pages/man3/crypt.3.html  ©www.linux.or.jp
• http://blade.nagaokaut.ac.jp/cgi-bin/scat.rb/ruby/ruby-list/28410  ruby_list ML

参考：あまりお勧めできませんが、「etc」の助けを借りて、ログインパスワードを使うこともできます。マニュアルのcryptに説明があります。 ⇒使用例：passtest.cgi

イタズラ防止のために簡単にできることをいくつか紹介します。

ファイルの保存や読み出しに使える文字、<, > を保存しない。
保存する前に、htmlの「特殊文字」に変換してしまいます。htmlの表示に出力する場合は、そのまま使えます。ついでにHTMLに表示するときに変換する必要のある、"と&も変換してしまいましょう。
str = str.gsub(/&/,"&amp;").gsub(/</,"&lt;").gsub(/>/,"&gt;").gsub(/"/,"&quot;")
元に戻すときには順番に注意してください。&が最後です。（'"'は、ダブルクオーテーション"をシングルクオーテーション'ではさんだもの）
str = str.gsub(/&gt;/,">").gsub(/&lt;/,"<").gsub(/&quot;/,'"').gsub(/&amp;/,"&")

データファイルを隠します。見せるつもりのないものを勝手に見られては困ります。少なくともWeb上からは見えなくする必要がありますし、できれば、同じサーバーを利用している他のユーザーからも隠したいところです。

• データファイルのモードをTerminalを使って 600 にします。（FFFTPでも可能）
  ファイルの置いてあるディレクトリに移動して、chmod 600 ファイル名
  私たちのapサーバーの場合は、これでwebからもTerminalからも他人がファイルの中身を開けてみることができなくなるようです。
  他の一般の場合に関してどうなるかは、そのサーバーの設定によるので、テストしてみないとわかりません。
  なお、ruby を使って自動的にモード設定をする場合は、600ではなく、0600ですので注意してください。
• データの置き場所をwwwの外にします。これで少なくともwebからの閲覧はできなくなります。
  情報処理実習で今野クラスの皆さんは、FTPにて、pocketディレクトリの中に新たにディレクトリを作成してその中にデータを保存するようにすれば、他の利用者から隠すことができます。pocketディレクトリの中に直置きした場合は、不具合が生じる場合がありますので注意してください。
  どういう仕組みかと申しますと、モードを700にしたディレクトリがあると、Terminalでは他人がその先の中身を見ることができなくなるのです。しかし、700ではrubyなどのサーバーアプリケーションがその中にファイルを置くことができないので、中にモード755のディレクトリを置き、データを管理します。この中でなら、サーバーアプリケーションがファイルを置いたり消したりすることができます。
  サーバーの設定や仕様にもよりますので、よそでの場合は、この方法が有効であることを確認してからやってください。
• 上記で設定したデータファイルの場所の記述は、Terminalにてデータファイルのある場所まで移動(cd ディレクトリ名)し、pwd と入力してみてください。ディレクトリのパスが表示されるので、それに続けてファイル名を書いたのが、ファイルの場所です。例えば、pocketの中にtestというディレクトリを作り、その中に、hoge.dat という名前のファイルを置いたとすると、あなたのユーザーIDが x040999x であったとして、そのファイルの場所は、
  /home0/x040999x/pocket/test/hoge.dat
  と、記述されます。
• よくわかんないしー、もっと簡単な方法はないの？　…というかたへ。
  1. CGIファイルが置かれているディレクトリと同じディレクトリ内に、usapyonというディレクトリを作ります（名前はテキトウ）。
  2. データをusapyon内に格納します。データのファイル名がhoge.datだとすると、CGIファイルから見たデータの場所は、 ./usapyon/hoge.dat となります。最初のピリオドをお忘れなく。
  3. Terminal にてログインし、cd ディレクトリ名 にて、usapyon ディレクトリの中に移動します。
  4. mule .htaccess と入力し、以下のように書き込みます。
     
     order deny,allow
     deny from all
  5. 書き終わったら、ctrlキーを押したまま連続してxsxcとキーを押し、手を放します。これで、webからのアクセス制限がかかります。
  6. データのファイル名が、hoge.datだとした場合、chmod 600 hoge.dat と入力します。これでTerminalから見られることを阻止します。
  7. できあがり。