Zelk Lab ブログ
用語・仕組み・つまずきポイントを、youtubeショートにアップしたもの含め1テーマずつ読み物にまとめています。
その業務自動化、保存したデータは大丈夫?──GAS×スプレッドシートに潜む数式インジェクション
フォームの内容をGASでスプレッドシートに自動保存する仕組みは、脆弱だと入力が数式として実行される数式インジェクションが起きます。なぜ起こるのか、表示のすり替えや集計破壊・情報漏洩の可能性、値を文字列として扱う対策まで、やさしく整理します。
開発の落とし穴入力を画面に出すだけで乗っ取られる?XSS(クロスサイトスクリプティング)の仕組みと防ぎ方
コメント欄やプロフィールなど「誰でも書き込める場所」に潜む代表的な穴、XSS。なぜ入力をそのまま表示すると攻撃が成立するのか、Cookieやセッションを盗まれると何が起きるのか、フレームワークで防ぐ勘所までを、コードを読まない人にもやさしく解説します。
開発の落とし穴入力欄からデータベースを丸ごと抜かれる──SQLインジェクションが今も危ない理由
ログインフォームや検索窓など、入力を受け取る場所に潜む古典的で被害の大きい穴、SQLインジェクション。入力を命令文に混ぜてしまうとなぜ乗っ取られるのか、情報漏洩・改ざん・削除の怖さと、プレースホルダなど基本の防ぎ方をやさしく整理します。
Web技術なぜ世の中のAPIは似た形をしているのか──「REST API」という共通の作法
「API連携」は分かっても、REST APIになると急に難しく感じる。実はRESTは新しい技術ではなく、多くのAPIが従っている共通の作法です。URLでリソースを表す・HTTPメソッドで操作する・ステートレスという考え方を、初心者がつまずく点も込みで読み解きます。
開発の落とし穴APIキーやパスワードをコードに直接書かないために──環境変数(.env)の使い方
「大事な情報をどこに置くか」問題の答えのひとつが環境変数(.env)です。なぜコードから切り離すのか、.envと.gitignoreの関係、本番ではどこに置くか、やりがちな漏洩ミスまで、コードを読まない人にも分かるように解説します。
学び方・キャリアポートフォリオで差がつくのは技術選定の「理由」──なぜその技術を選んだかを語れるか
実装できるのは、もう当たり前。採用側が本当に見ているのは「何を使ったか」ではなく「何のために何を作り、なぜその技術を選んだか」です。技術選定と設計の根拠を自分の言葉で語れることが、駆け出し・転職での差になる理由を実例で解説します。
開発の落とし穴個人開発を「動けばいい」で終わらせない ── セキュリティと非機能要件とは何か
AIで実装が軽くなったからこそ「動けばいい」で公開すると危うい。個人開発でも見るべきセキュリティ(SQLインジェクション/XSS/認可/公開設定)と非機能要件(ログ/バックアップ/レートリミット/負荷)を、自分に投げる問いの形で整理します。
学び方・キャリアエンジニアで仕事ができる人の共通点は、技術力よりコミュニケーションだった
エンジニアは技術力を磨けば評価される、と思いがち。でも現場で本当に効くのは、事業側の意図を正しく理解し、認識を合わせながら組織や事業に貢献する力です。ありがちな3つのズレを例に、仕事ができる人の習慣をやさしく解説します。
学び方・キャリアAI時代のエンジニアに本当に効くスキルとは?技術は手段、市場価値の伸ばし方
AI時代、実装や調査のハードルが下がり、知識量やコーディング速度では差がつきにくくなりました。技術はあくまで手段で、目的はユーザーの課題解決と事業の推進です。本当に効くのは、相手の意図を理解し、認識を合わせ、優先順位を判断する力。市場価値の伸ばし方を整理します。
Web技術CORSエラーとは?なぜ起きるのか・正しい解決方法を初心者向けにやさしく解説
CORSエラーは、ブラウザが同一オリジン以外への通信を制限するセキュリティ機能によるもの。直すのはAPIサーバ側で、レスポンスヘッダーに許可するオリジンを指定します。全部許可する設定は危険な理由まで、初心者向けにやさしく解説します。
「次に何を学べばいいか」で
止まっていませんか。
この記事は入口の1つです。独学のいちばんの壁は「順番」。ZELKでは、あなたの目標から逆算した 「学ぶ順番(学習ロードマップ)」を1対1で一緒に作っています。無料・売り込みなしなので、 まずは公式LINEから気軽にご相談ください。


