くだすれPHP（超初心者用）

**nobodyさん** · 2006/06/12(月) 14:06:01

このスレッドは、他のスレッドでは書き込めない超低レベル、
もしくは質問者自身何が何だが分からない質問を勇気を持って書き込むスレッドです。
PHP使いが優しくコメントを返しますが、
お礼はPHPの布教と初心者の救済をお願いします。

PHP Home Page
http://www.php.net/

**nobodyさん** · 2006/09/24(日) 20:17:58

try{} catch {} して catch {} でログに書き出すとかする。画面には出力されないはず。

でもFatal Errorは無理だったような気が。

**nobodyさん** · 2006/09/24(日) 22:24:10

>>474
パースエラーが出るような状況で運用にするなよ

**nobodyさん** · 2006/09/25(月) 00:51:05

リナクスのバージョンアップ、アパチのバージョンアップ、マイSQLのバージョンアップ、PHPのバージョンアップ
パースエラーが出ない保証なんて無いよ。

複数台で負荷分散してたりすると、phpスクリプトがダウンロードできたりして楽しい状況。
まあ上場したミクシもパールスクリプトがダウンロードできるミスをやらかしたけど。

**nobodyさん** · 2006/09/25(月) 00:51:52

一応あれ保存してるｗｗｗ

**nobodyさん** · 2006/09/25(月) 01:01:40

ｸﾚｸﾚ！！！

**nobodyさん** · 2006/09/25(月) 01:02:40

mixiってmod_perlで動いてるんだろ？
ちょっと見てみたい。

**nobodyさん** · 2006/09/25(月) 01:38:01

>>477
＞複数台で負荷分散してたりすると、phpスクリプトがダウンロードできたりして

どうして負荷分散するとスクリプトがダウンロード可になるの？
負荷分散と直接関係あるの？

**nobodyさん** · 2006/09/25(月) 02:02:08

テスト環境を整えずにバージョンアップするなってこった。

**483** · 2006/09/25(月) 15:10:08

tanaka→CSVファイル一行分のデータ
yasuda→キーワードが入った配列

Function Search_Pattern($tanaka,$yasuda)
{
for($loop = 0;$loooop < count($yasuda);$loooop++) {
if($yasuda[$loooop] == "") continue;
if(!ereg($yasuda[$loooop],$tanaka)) return 0;
}

return 1;
}

yasudaさんはフォームに入力されたキーワードなんだけど、
「ー」をフォームに入力すると、
＞Warning: ereg() [function.ereg]: REG_EBRACK in /ｘｘｘ/ｘｘｘ/ｘｘｘ/xxx.php on line xx
て、エラーが出てしまう。調べてみると、
「Shift-JISじゃだめだEUCにしろ」みたいなことらしいのだけど、
意味がよく分からないです。
HTMLのヘッダー部分を直しても、何も起きないし、
<meta http-equiv="content-type" content="text/html; charset=EUC">
ファイルをEUCにして保存して、アップしたら文字化けしました。
CSVのデータ内容の都合上「ー」は避けて通れないので、
どうしたら良いか教えてください。よろしくお願いします。

**nobodyさん** · 2006/09/25(月) 16:03:14

PHPでアップローダー作ってるのですが、
動画をアップロードして、その動画のサムネイルも
ウェブ上に表示される方法に関して、
詳しく書かれた専門書があればお勧めいただければありがたいです。

**nobodyさん** · 2006/09/25(月) 17:48:42

>>484
そんな本は無い。
それくらい自分で実装方法が思いつかない＆調べられない、という
レベルなら、諦めたほうがいい。

**nobodyさん** · 2006/09/25(月) 18:06:15

いや、あきらめるな調べろ

**nobodyさん** · 2006/09/25(月) 18:20:53

いや、あきらめたりもしくは調べろ

**nobodyさん** · 2006/09/25(月) 19:48:15

いや、根気良く質問し続けろ

**nobodyさん** · 2006/09/25(月) 21:45:43

ほう、動画のサムネイル表示か。
やったことないから俺は分からない。だからちょっと面白い。

よし、やってみよう。

**nobodyさん** · 2006/09/25(月) 22:05:02

yahooで「php 動画サムネイル」で検索したら１番上に出てきたけど。
ffmpegってエクステンションがあるみたいね。

わりと分かりやすいドキュメントもあるし。

調べるってことをしないのかね・・・

**483** · 2006/09/25(月) 22:30:14

2バイト目が正規表現の特殊文字と一致するのが原因？らしい？？
むむむ……？？

**nobodyさん** · 2006/09/25(月) 22:37:20

>>491
charset=euc-jp じゃない？

**491** · 2006/09/25(月) 22:40:59

回答どうもありがとうございます。
指摘箇所を修正したのですが文字化けしました。
「そこを直すだけ」だとだめなんでしょうか・・。

**nobodyさん** · 2006/09/25(月) 22:48:31

んー

[ php.ini ]
mbstring.language = Japanese
mbstring.http_input = auto
mbstring.http_output = EUC-JP

っていうか今483のコード目通したけど、明らかにおかしいから文字コード以前にそれを直すべき。
for文の変数がおかしい。eregの使い方間違ってると思われる。あと、一般的にFunctionはfunctionで。

**nobodyさん** · 2006/09/25(月) 22:52:46

回答どうもありがとうございます。
ですが、回答の内容が理解できません。（頑張って調べてみますが）
明らかにおかしいとのことですが、
取り敢えず「ー」を検索キーワードにしなければ正しく動作してます。

**nobodyさん** · 2006/09/25(月) 22:59:55

いやいや、これじゃ$yasuda[0]取れてないじゃん。

**nobodyさん** · 2006/09/25(月) 23:03:12

内部・出力・スクリプト・CVSファイル・POSTされたデータのエンコーディングは全部EUCか？

tanaka と yasuda にする意味が分からん。
どうせ意味を持たない名前の変数なら hoge とかにした方が分かりやすい
function Search_Pattern($key, $csv)
{
　foreach ($csv as $line) {
　　if($line == "") continue;
　　if(!mb_ereg(mb_convert_encoding($line,"EUC","SJIS"), $key)) return 0;
　}
　return 1;
}

まぁあれだ、エスパー的に考えると多分POSTされたデータがSJISだからEUCに変換すれば通るんじゃないか
2バイト目が\x5Cな文字を受け取ると失敗する

**nobodyさん** · 2006/09/25(月) 23:05:34

あ、申しわけない。$loopの"o"の数は無視してください。
それは、間違いです。
実際は、全部$loooopです。

**nobodyさん** · 2006/09/25(月) 23:09:28

書いた後で思った。
$tanakaって分割されたCSVの一行なのに、$lineって変だな

**483** · 2006/09/25(月) 23:24:18

>>497さんに指摘されて、全てのファイルを見直したら、
CSVファイルがShift-JISになってたので、ECUにしたら、
「ー」の検索結果が上手く表示されました。感動！
普段使ってるHTMLエディターがそういう設定ないので、
あんまり気に止めてなかったことでした。
mb_convert_encodingとか見たことないこと書いていただいたので、
それも参考にしてみたいと思います。

それでは、皆さん、ご迷惑お掛けしました。
頑張りまーす。

**nobodyさん** · 2006/09/26(火) 00:38:00

PHP5のPOST処理が遅いって、このスレで何度か出てたので調べてみた。

PHP/4.3.11
PHP /5.1.6

で、両方Apache/2.0.53で動かした。
ソースは

$file=$_POST['FILE'];
$fp = fopen('testfile', 'w');
var_dump(fwrite($fp, $file));
fclose($fp);
echo "OK";

こんな単純な処理、
んで、5Mちょうどに作ったランダムな文字を埋め込んだテキストデータを送ってみた。
PHP5側が32秒、PHP4側は3秒

…なんだろう、この差は('A`)
ちなみに、php.iniは新たに排除された物以外同じ。
POSTに関連するような項目は無いはず。

**nobodyさん** · 2006/09/26(火) 00:49:08

こ･･このあり得ない程の差は一体どこが問題なんだ･･･

**nobodyさん** · 2006/09/26(火) 01:45:38

セキュリティ耐性の向上でいろいろチェックでもしてるのでは？
バッファーオーバーフロー対策だけでもかなりのオーバーヘッドが発生して処理速度が落ちると思う。いちいちサイズチェックしてる訳だし。
プロファイル取って精査してみると原因が分かるかもね。

**501** · 2006/09/26(火) 02:12:00

関係ありそうなのといえば
magic_quotes_gpcだろうけど
これを無効にしても変わらんね。
まぁ、チェックはこれだけではないと思うので、オプションでいじれない範囲になるのかな

**nobodyさん** · 2006/09/27(水) 06:20:17

>>501のソース
最初ファイルの書き出しの所でオーバーヘッド起きてるんだと信じ込んでたが
$file=$_POST['FILE'];
の直後に、echo 'OK';exit();
やっても、OKが返るまでに相当時間がかかる。
さらに、$file=直前の一行目に書いても同じ。

ちなみに、俺はWindows版のPHPで試したが、その場合PHP4/5ともに30秒くらいかかった。
んで、FreeBSDマシンもあるので、>>501とほぼ同じマシンで試したら、4/5ともにほぼ同じ30秒くらい。

ところがどっこい、xreaのPHP5採用鯖とPHP4採用鯖で試したら、2秒で完了した。
同じく外部で借りてる鯖で試してもそんなもん。
この2つの共通点はLinuxって事だな。

俺の結論としては、4/5の差じゃなくて、OSの何かの差だと思うんだが・・・。
PHP.iniファイルは当然あわせてるし、他に考えられん。

**nobodyさん** · 2006/09/27(水) 06:23:50

>>505を見ると、俺にはハードウェアの違いに見えるんだが…
Windows版はGUI立ち上がってるからCPUパワーが一段階下がる。
何となくお前のFreeBSDマシンはメインマシン下がりの1世代か二世代前のマシンな希ガス
POST処理って何気にCPU食うからな。URLエンコードやmagic_quotes_gpcの有無に限らず結構チェックが多いから

**nobodyさん** · 2006/09/27(水) 12:43:34

そりゃ素人が作った鯖と、それで飯食ってるプロが建てた鯖とでは違うと思うが。
xreaはRAID搭載ジーオン鯖だったりしないか？

**nobodyさん** · 2006/09/27(水) 13:13:40

getimagesizeで、警告がでるときとでないときがあるのですが、どうしてですか？
if(getimagesize($_FILES["upfile"]["tmp_name"])){
$errors = "画像形式のファイル以外は登録できません";
}
空のjpgをアップすると、警告と$errorが表示されます。
でも、テキスト形式のファイルをjpgにして、アップすると、
$errorは表示されるのですが、警告は表示されません。

マニュアルには、
filename のイメージにアクセスできない場合、もしくは有効な画像でない場合、getimagesize() は FALSE を返し、E_WARNING レベルのエラーを発生させます
と書いてあるのですが、どうしてでしょうか？
もし、よろしければ、教えてください。

**nobodyさん** · 2006/09/27(水) 17:55:56

>>508
ファイルがアクセス可能であればE_WARNINGはでないようだ
マニュアルのミスだね

**nobodyさん** · 2006/09/27(水) 17:56:10

>>507
POSTで受信する段階ではRAIDとか関係ないでしょ

**nobodyさん** · 2006/09/27(水) 21:49:52

>>508
マニュアルのミスっすか！
ありがとうございます！！

**nobodyさん** · 2006/09/28(木) 05:09:14

phpで構造体(c言語でいう、structに相当するもの)を表現するには、
通常どのようにするのでしょうか？

**nobodyさん** · 2006/09/28(木) 09:24:11

配列かオブジェクト使え

**nobodyさん** · 2006/09/28(木) 09:41:40

>>505
文字コード何にして送ってる？
FreeBSDは、EUC/ECU-JPだから
その変換作業がオーバーヘッドになってると思われ。OSの差が本当に原因なら

**nobodyさん** · 2006/09/28(木) 09:44:55

日本語扱わないなら文字コードは関係ないよ。latin1相当だ。

**nobodyさん** · 2006/09/28(木) 11:09:55

誰かFreeBSD環境とLinux環境を切り替えれる人が>>501のソースを実行してみりゃわかる話。
OSレベルで差が出るとは思えんが・・・
>>501が同一マシンで実行したのなら、何かOSの差異に問題があるんだろうな。
でも、PHP4と5だろ・・・、うちじゃ差は無かったよ。FreeBSDマシンだがどっちも同じくローカルで30秒ほど
本当に一桁で完了なんてすんの？
流石にこのマシンLinux入れるわけにはいかないので試せないけど、もしそういう結果が出るなら乗り換えてしまいたいかも・・・

**nobodyさん** · 2006/09/28(木) 11:47:29

echoとprintが両方使えるのですが、どちらを使う方が良いのでしょうか？

**nobodyさん** · 2006/09/28(木) 12:51:26

殆ど同じだから好みで使い分けていいよ。
ただし、どちらかに統一するように！

void echo ( string arg1 [, string ...] )
int print ( string arg )

>戻り値
・echo は戻り値がない
　NG ： echo echo echo echo "hoge";
・print は常に1を返す
　OK ： print print print print "hoge";
　→ hoge111

>引数
・echo は「,」（コロン）で区切った文字列を連結して出力する事ができる
　echo "hoge", "hage", "hige";
　→ hogehagehige
（普通にドットで文字列連結できるからあんまり意味ないけど、違いって事で）

**nobodyさん** · 2006/09/28(木) 12:53:18

･･コンマなのになぜコロンと書いてるんだろうか･･･ orz

**nobodyさん** · 2006/09/28(木) 15:08:09

>>518
わかりやすくありがとう

がんがるﾉｼ

**nobodyさん** · 2006/09/28(木) 17:51:44

聞いてくれ！みんな！
ming居れたいんだけどｺﾊﾟｰｲﾙｴﾗｰでちゃう。

dbl2png.c:31: error: 文法エラーが "png_uint_32" の前にあります
等のｴﾗー
make[2]: *** [dbl2png] エラー 1
make[2]: Leaving directory `/usr/local/src/ming-0.3.0/util'
make[1]: *** [utils] エラー 2
make[1]: Leaving directory `/usr/local/src/ming-0.3.0'
make: *** [all] エラー 2

ming のアーカイブをダウンロードし、展開して
ming-0.3.0.tar.gzとming-php-0.3.0.tar.gz 他にも居れないとダメん？
make
ｴﾗｰ
糸冬

OS:CentOS4.2
Apache1.3.3+modssl
PHP4.3.11
Postgres7.2.2

色々調べたがｲﾏｲﾁグット来るものが中田・・・。

**nobodyさん** · 2006/09/28(木) 18:13:15

曜日選択のPHPを作っています。
mofu.phpにはチェックボックスに月～土まであり、submitすると、mofu.phpで判定を行います。

<input name="ShopOpenW[]" type="checkbox" id="ShopOpenW[]" value="月" <? if(in_array("月",$_POST['ShopOpenW'],TRUE)){echo "checked"; } ?>>月

としたのですが、チェックが入っていない状態でsubmitすると、

Warning: in_array() [function.in-array]: Wrong datatype for second argument と怒られます。

でもチェックを入れた状態でsubmitするとWarningも出ないし、期待通りチェックボックスにチェックが
ついたままの状態になります。

このWarningをつぶす方法を教えてください。

**nobodyさん** · 2006/09/28(木) 18:17:16

>>522
まぁ、一つの方法としてはエラーレベル下げるとか。

**522** · 2006/09/28(木) 18:28:24

チェックボックスに１つもチェックが付いていない＝空のデータ、
つまり配列じゃないぞｺﾞﾙｧというエラーであると思ったので、
if($_POST["ShopOpenW"]==""){
$_POST["ShopOpenW"]=array();
}
として空白のときは空の配列になるようにしました。
期待通りの動作にはなりましたがなんか正統な方法じゃないような
気がするのでもっといいアイデアがあればお願いします。

>>523
あえてエラーレヴェルは下げない方向で・・・
ヘタレなので別の部分で対処すべき不具合も見えなくなっちゃうかも
なので・・・。

**長文ですいません。** · 2006/09/28(木) 18:35:24

ログイン後のユーザーページを表示させるのに、セッションを使っているのですが、
これはセキュリティ的にやはり危ないのでしょうか？
というのも、現在、パスワードなどの認証後、$_SESSION["userid"]= $userid　みたいな感じで、
値をいれ、各ページでその値が空でなければ、$_SESSION["userid"]の値を元に、
個々のユーザーのデータを抽出して、表示させています。
ただ、$useridはDBからそのまま持ってきた値を使っています。
だから、会員ナンバー１の人はその$useridが1となってます。
これは、すごい危険ですかね？
もし、よろしければ、どういった管理をすれば良いのかアドバイスをください。
宜しくお願いします。

**nobodyさん** · 2006/09/28(木) 18:47:04

>>524
<? if($_POST['ShopOpenW']){echo "checked"; } ?>
じゃ、ダメ？

**nobodyさん** · 2006/09/28(木) 18:49:07

>>525
login_idっていうの作って見れば？
わたしはUserId.liginIdでハッシュをつくってるけど
まぁ、ログイン時にDBを更新しないといけないけどね・・・

**522** · 2006/09/28(木) 19:06:14

>>526
配列に入ってるから無理やり引きずり出さないと使えないと思ってたのに、
こんなにスマートに使えるなんて・・・。
知りませんでした、勉強になります。

**長文ですいません。** · 2006/09/28(木) 19:11:09

>>527
ありがとうございます。なるほど、そうしたほうが良さそうですね。
でも、初心者の自分にはちょっと面倒そう。。
でも、そんなこと言ってられないっすよね！
ありがとうございます。
でも、普通はそんな感じで管理するのですかね？

**522** · 2006/09/28(木) 19:12:13

>>526
1個だけチェックのときは上手くいったけど
全部同じように処理したら1個チェックをつけただけで
全部のボックスにチェックが付いちゃった。
びっくり～(●o●)

**nobodyさん** · 2006/09/28(木) 19:16:30

>>530
えーまじでぇー
中に'月'って入ってるか見ないとダメか！；

**nobodyさん** · 2006/09/28(木) 19:20:27

>>529
めんどくさかったら
login_idだけでもいいんじゃない？

さっきからオレ一人しか答えてないような気がするが。

**nobodyさん** · 2006/09/28(木) 19:29:54

>>530
受け取って表示するプログラムってどんなん？

**530＝522** · 2006/09/28(木) 19:38:21

>>533
お店が開いてる曜日をチェックするセクションを作ってます。
ただ営業時間とかお店の名前（読み方をカタカナで）とかいろいろ
あって、お店の名前のカタカナ項目にカタカナ以外が入ってたりとか
しないかをチェックしています。
で、カタカナ項目にエラーがあるのにチェックした曜日が消えちゃダメ
なので、前に入力された情報を保持する方法を考えています
やっぱり曜日はセットで保持するべきだと思って、チェックボックスの
項目を配列でまとめています。

**長文ですいません。** · 2006/09/28(木) 19:42:22

>>532
もっとめんどくさがって、$useridに数回、endodeした値を
セッションに入れるじゃ、セキュリティはダメですかね！？
すいません、質問ばっかして＞＜

**nobodyさん** · 2006/09/28(木) 20:01:49

>>534
でけた。

表示。

$day_arr=array("dummy","月","火","水","木","金","土");
for($i=1;$i<count($day_arr);++$i){
echo '<input name="ShopOpenW['.$i.']" type="checkbox" id="ShopOpenW['.$i.']" value="'.$day_arr[$i].'"';
echo "> ".$day_arr[$i];
}

受取

$post_data = $_POST['ShopOpenW'];
$day_arr=array("dummy","月","火","水","木","金","土");
for($i=1;$i<count($day_arr);++$i){
echo '<input name="ShopOpenW['.$i.']" type="checkbox" id="ShopOpenW['.$i.']" value="'.$day_arr[$i].'"';
if(array_search("$day_arr[$i]",$post_data)) echo "checked";
echo "> ".$day_arr[$i];
}

これでDo？

**nobodyさん** · 2006/09/28(木) 20:04:45

>>535
直接useridを持ち歩かなければいいしょ！
なんらかの方法でハッシュ化とか別の物を使用するとかすれば

**530＝522** · 2006/09/28(木) 20:13:59

わーお
すごいのきたー。
これ使わせてもらいまっす。

ありがとうございました～。

**530＝522** · 2006/09/28(木) 20:17:18

>>535
自分はユーザIDをセッションで保持することには余り抵抗が無いです
(単にドヘタレなだけだけど)。
ユーザIDとパスワードの両方を持ってるとまずいけどユーザIDだけなら
いいのでは？
あとはSQLインジェクションとかに気をつけて仮にユーザIDがばれても
悪さされないようにするのがいいと思います。

スレ汚しすまんとです。

**長文ですいません。** · 2006/09/28(木) 20:21:03

>>537
ありがとうございます！！！
じゃあ、当面は大丈夫だろうと、数回encodeして頑張ってみます。
もっと、勉強してからlogin用のフィールドを作り、ハッシュ化したりします。
本当にありがとうございます。

**nobodyさん** · 2006/09/28(木) 21:59:01

$useridを総当たりすると楽しいことができそうな悪寒。

**521=523=524=527=531=532=533=536** · 2006/09/28(木) 22:13:37

>>540
ぅぉーがんばれー

そして、俺のMingに対しては誰も突っ込んでくれないんだな；；

もうちょっと文献探して見るかー。

**長文ですいません。** · 2006/09/28(木) 22:22:41

やっぱ、エンコードじゃ危ないっすかね～。。

Ming、頑張ってください。
mingでflash作るなら、普通にflashで作ったほうが自分には早いので！笑

**nobodyさん** · 2006/09/29(金) 01:33:21

>>525
その処理のどこが危険なのか、サッパリ意味がわからん。
$useridはPOSTされた値じゃなくて、DBから取った値なんでしょ？
だったら、それをセッション変数に入れて使っても、何の危険も無い。
SQLインジェクション云々などと頓珍漢なことを言ってるヤツもいるけど、
セッション変数とSQLインジェクションは全く関係ないし。

>>541なんてかなりバカで、$useridを総当りとか言ってるけど、
セッション変数を総当りする（総当りに任意の値を格納していく）ことなんて出来ないし。

**nobodyさん** · 2006/09/29(金) 02:07:01

俺も>>525が何を危惧してるのか謎。

**521......536=542** · 2006/09/29(金) 03:36:38

やっぱりさー、多分セッションとクッキーの違いって分り辛いじゃん。

勘違いしても、まぁ、しかないなかなぁ　と思ったり思わなかったり。

でだ、そうなってくるとセッションって見れるん？とか不安を持ったりするんじゃないかな。
だとすると。ああ言う心配がでるのかと。

まぁ、レベルを下げた視野をで物事見ないと難しいよね。
>>541
に関してはナンセンス・・・。

**nobodyさん** · 2006/09/29(金) 03:41:24

>>546
そうか！
>>525はセッションとクッキーを混同してんのか！

セッション変数も、クッキーに格納した値と同じように
ユーザが中身を覗いたり改ざんしたり出来る…などと思い込んでるのかな？

**長文ですいません。** · 2006/09/29(金) 08:10:44

うーんと、セッションはサーバに保存されて、
クッキーはブラウザ?、ユーザーのほうに保存されるって感じの認識かな。
$useridが簡単な値だと、セッションハイジャック、CSRFが簡単にされたり、
されたときが危険、なのかなぁって思って。

**nobodyさん** · 2006/09/29(金) 08:30:04

>>505
君は正しかった・・・。

**nobodyさん** · 2006/09/29(金) 11:37:32

>>548
「$useridが簡単な値　→　セッションハイジャック、CSRFが簡単にされる」
…などという無茶苦茶な論理構造をどうにかしろボケ。
どういう根拠でそんな100％間違ったこと言ってんだお前は。

スクリプト内の変数$useridに入れる値が簡単だろうが複雑だろうが、
セッションハイジャックやCSRFが発生する可能性とは全く関係ないことだぞ。

それからお前はＩＤを出せと言ってるだろうがチンカス。

**nobodyさん** · 2006/09/29(金) 13:23:49

>>548
セッションハイジャックされた時点でおわり
idが簡単とかいう問題じゃない
パスワードを暗号化してても認証後にハイジャックされたらパスワード関係ないし

**nobodyさん** · 2006/09/29(金) 17:46:04

みんなツンデレだなぁ

ちゃんと説明しといて貶す！
やるねぇ

セキュリティに関して考える事はいい事じゃないかーヽ( ´ー`)ノ
がんばれー(*･ω･)

◆aQcYunoka. · 2006/09/29(金) 20:41:26

>>521
ヒント:CVS

私もコンパイルうまくいかなかったっけど、CVSの落としてきてCent3.7上で成功してるよ。

dependは、re2cとflex(GNUのやつ)だけだったはず。[@うちのLinux]

ちょっとまえにCent3.7でコンパイルさせたののSPECの該当部分。
BuildRequires: zlib-devel, perl,bison,libungif-devel,libpng-devel
Requires: libungif,libpng

**nobodyさん** · 2006/09/29(金) 23:24:26

セッションidの総当たりも結構被害大きいよね。
鯖の負荷が高くてサービス不能攻撃が先に成立するけど。

**nobodyさん** · 2006/09/30(土) 01:54:35

うちは普通にパスワード認証だよ。
3階間違えたら、画像の文字列を入力させられるよ。

**nobodyさん** · 2006/09/30(土) 02:43:26

>>555
なるほど、自動登録だけじゃなくて、総当りも防げるか･･

**nobodyさん** · 2006/09/30(土) 03:01:52

>>556
ログイン時の失敗回数をカウントして画像の文字列入力などをさせることと、
セッションID総当り攻撃を防ぐこととは何の関係もないぞ。
総当りってのはログイン通過後のセッションＩＤを探る攻撃なわけで、
ログイン通過「前」の認証部分における制御は全く関係ない。

ところで、セッションID総当りって、パスワード（通常８～12文字程度）総当りよりも
確率の低い（時間のかかる）攻撃であって、実際にはありえないだろう。

**nobodyさん** · 2006/09/30(土) 11:13:19

セッションは、状況によっては比較的容易に固定させることが可能だから恐いんだがな

**nobodyさん** · 2006/09/30(土) 12:04:04

ジーオンクアッドでフレッツプレミアム1Gbpsなら毎秒数万セッションぐらい生成攻撃できると思うけど？
確率は低いと逝っても０じゃない以上、時間をかければ突破できる悪寒。

ログチェックとかで頻繁に検出して対処するしか無いと思う。

**nobodyさん** · 2006/09/30(土) 13:42:55

>>558
PHP標準のセッション使ってれば、まず通常考えうる時間内では無理。
さらに言えば、セッションＩＤをこまめに変更する仕組みをスクリプトに組み込めば良い。

>>559
そんなアホな攻撃、別の段階で検知されるだろう。っていうか検知すべきだろう。

**nobodyさん** · 2006/10/01(日) 09:36:47

検知してない鯖も多い罠。

変更する仕組みのデバッグが大変で、ほぼ固定が現実だと思う。

**nobodyさん** · 2006/10/01(日) 12:25:20

ﾁｬﾝとﾁｮﾝのIPからのアクセスを排除すれば、とりあえずOK（ｗ

**nobodyさん** · 2006/10/01(日) 12:38:56

>>561
＞変更する仕組みのデバッグが大変

大変じゃないよ。PHPにはセッションID再生成専用の関数があるんだから。

だからセッションIDとあるフィンガープリントを結びつけておいて、
フィンガープリントが異なったらセッションハイジャックが起きたものと見なし、
その時点でセッションIDを再生成し、異なるフィンガープリントでやってきた訪問者（おそらくクラッカー）の
IPを一定時間拒否すればよい。

**nobodyさん** · 2006/10/01(日) 12:44:39

>>563
使いにくそうなシステムだなｗ
無駄にクラッカー認定されまくりな悪寒

**nobodyさん** · 2006/10/01(日) 13:33:14

>>564
どこが使いにくいのか具体的に指摘してみろっつーのボケ。
お前ずっと難癖つけてばっかりだけど、何も具体的なことが言えないんだな。

フィンガープリントには通常のブラウズでは変更されないような値を元に設定しておくので、
無駄にクラッカー認定されることはありえない。
お前のようなバカ頭で考えると、無駄に認定されまくり…の方法しか思いつかないんだろうな。

**nobodyさん** · 2006/10/01(日) 14:18:02

$timestamp=mktime(0,0,0,10,1,2006);
$date1=date("Y年n月j日",$timestamp);
$date2=date("j,n,Y",$timestamp);
print($date1);
print($date2);
?>

このprintの部分、反映されると$date1と$date2が改行されず
くっ付いてしまうんですが、どうしたら改行できますか？

**nobodyさん** · 2006/10/01(日) 14:28:03

printは自動的に改行を付けてくれないから。
自分で改行を付けるヨロシ
・テキストとして -> \n を追加
・HTMLとして -> <br>を追加

**nobodyさん** · 2006/10/01(日) 14:47:59

if(!$a == $b) と　if($a !== $b) の結果が違います。
この意味の違いは教えてください。

**nobodyさん** · 2006/10/01(日) 15:31:12

>>567
print($date1);<br>
print($date2);
?>
こういう感じですか？それだとエラーが出てしまうんですが。

**nobodyさん** · 2006/10/01(日) 16:07:08

>>569
･･･？！
まさかそう来るとは思わなかったわ･･

そりゃPHPの中に<br>書いちゃったら構文エラー吐くに決まってる。

print($date1 . "<br>");

>>568
最近似たようなの見たな

**570** · 2006/10/01(日) 16:22:50

> 最近似たようなの見たな
ん、どうやら前スレぽいな

>>568
例えば
$a = 1; // 数値
$b = "1"; // 文字列

// 暗黙の型変換を許容した比較
$a == $b //　true (暗黙の型変換で文字列が数値に変換され比較される)←暗黙の型変換
$a != $b // true ($a と $b は等しくない)
!$a == $b // false (演算子の優先順位により、先に!$aが評価され「0」になる)←演算子の優先順位

// 型変換を行わないより厳密な比較
$a === $b // false (型も比較する。この場合、文字列と数値なのでfalse)←型を含めた比較
$a !== $b // false (↑に同じ)

**570** · 2006/10/01(日) 16:26:49

ぁ、$a !== $b は true だったな。書き間違えてるわ

**nobodyさん** · 2006/10/01(日) 17:14:54

perlのuse strict;みたいな、未宣言の変数を制限する方法ってないんですか？
error_reporting(E_ALL);を使っても

$hege = 2;//hogeのタイプミス

みたいなのは駄目ですよね？

**nobodyさん** · 2006/10/01(日) 17:15:59

>>573
その先で$hogeを使った時に警告してくれる