Jeans CMS 製作日記

スキンのパース部分がほぼ出来上がったので、メモ。

スキンの仕様としては、Nucleusのスキンのアッパーコンパチブルにすることをめざす。すなわち、<%skinvar%>の様な記述で書き上げるやり方をとる。

一方で、<?php … ?>のような、PHP直書きの表記も使えるようにする。したがって、スキンに特別な機能を入れたい場合に、PHPでガリガリ書くことも可能。

もう一つの特徴は…。これはもし完成した場合にJeans CMS の大きな特徴になると思うのだけれど…。スキンをコンパイルして、PHPファイルに変換できるようにしたい。つまり、コンパイルの結果、コアやプラグインの機能を直接呼び出すようなindex.phpが作成される。これをサーバーにおけば、ZAPAさんの改造のように、１００倍とまでは行かないものの、かなりのスピードアップが期待できると思われる。

<skin.php のつづき>

とりあえず、３つの対策を用意。

１）リモートコードインサーション対策
２）XSS対策
３）SQLインジェクション対策

何も考えずにコアの機能を利用することで、これらのセキュリティー対策が行えるようなツールを目指す。理想としては、意識せずにコードを書けば脆弱性はでず、何か特別なことを仕様としたときだけに脆弱性が出てしまうようなものにしたい。規約として、echo 命令はライブラリやプラグインでは使用禁止にするつもり。

<セキュリティー対策 のつづき>

最初の記事でたいそうなことを書いたが、要するに開発するためのメモをするところを準備したというところ。まず、特徴となることをいくつか挙げると

１）言語としては、PHP5を利用。データベースエンジンは、SQLite。
２）ライセンスは、GPL（Nucleus のコードを幾分か移植して使うため）。
３）軽さを追求したツールにする。
４）グローバル変数とグローバル関数は利用しない。代わりに、定数もしくはクラスのスタティックプロパティとクラスのスタティックメソッドを用いる。
５）SQLインジェクション、XSS、リモートコードインサーションなどの脆弱性が出にくくなるような仕組みを、コア側で用意する。
６）スキンはデータベースに保存せず、ファイルとして保存する。
７）Nucleusのテンプレートの概念は使わず、かわりにスキンを多層化する。
８）管理画面もスキンで記述し、自由にカスタマイズできるようにする。

<特徴 のつづき>

自分流のCMSを、ほぼスクラッチの状態から製作することにした。Nucleusに似たものになると思うけれど、Nucleusの良いと思うところは残し、そうではないところに改良を加えたものにしてみたいと思う。

このツールの名前であるが、Nucleusの考え方を受け継ぐようなものにした。お手本にするツールであるNucleusは、『核』という意味であるが、文字通りブログツールやCMSとしての核の部分だけを提供し、その他の多くの機能をプラグインで補おうという考え方である。ここで開発するツールは、核（細胞核）をさらに分解し、遺伝子のレベルまで細かくして扱っていこうという考え方を取りたい。コアに含まれる複数のクラスを遺伝子としてとらえるので、Genes。同じ発音でつづりを変えて、Jeansと命名した。