トップページphp
1001コメント332KB

【PHP】下らねぇ質問はここに書き込みやがれ 55

■ このスレッドは過去ログ倉庫に格納されています
0001nobodyさん2007/09/29(土) 18:35:56ID:YlkpEUW6
まず読め→【PHP マニュアル】http://www.php.net/manual/ja/
PHPで最良の教本はこの公式マニュアル。市販の書籍は嘘が多いので鵜呑みにしない。
過去スレ、関連スレ、FAQなどは>>2-10辺り

◆前スレ
【PHP】下らねぇ質問はここに書き込みやがれ 54
http://pc11.2ch.net/test/read.cgi/php/1189309377/

◆質問する時の注意
・ 自分のIDを表示させること。(メール欄に何も記述しないこと。空白も入力しちゃダメ)
・ サーバーのOS(Linux、Windows他)、WebサーバーとPHPの種類やバージョン等を明記すること。
・ 己の行った操作、変更などを詳しく明記すること。
・ エラーメッセージはそのまま表記すること。「エラーが出ます」だけでは回答不可。
・ 質問者として、態度をわきまえること。
・ 事前に公式マニュアル、リファレンス本くらいはちゃんと目を通しておくこと。

◆質問後の注意
・偽者防止に必ずIDを表示させること。(メール欄に何も記述しない)
・2回目以降は最初に質問した際のレス番号を名前欄に入れること。
・解決しなくても回答をもらった場合はお礼を言うこと。
 (荒らし、煽りは除く。煽られたときも、無闇に反論せずスルーすること。)

◆回答者への注意
・誰にレスしているのか分からないと困るので、>>(アンカー)をつけて回答すること。

【その他諸注意】
・正規表現・PEAR・テンプレート(Smarty等)・フレームワークは各該当スレへ
・SQLについての質問はデータベース板(PCカテゴリ)の各スレで


0713nobodyさん2007/10/09(火) 22:57:50ID:???
>>712
お?!ソースまで!手間かけさせてすいません。
ちょっくら試してみます!
0714nobodyさん2007/10/09(火) 23:43:16ID:G9B1/Oic
質問です。よく、フリーメールのサービスで
メール一覧があって、それぞれのメールのアタマのチェックボックスにチェックを入れて
【チェックしたメールを削除する】 ってボタンを押したら削除されたりしますが、
アレってどういう仕組みになってるんでしょう。
各メールにそれぞれ削除ボタンがあるのなら自分でも作れるんですが、一括削除の
仕組みがわかりません
暇なかた、どなたか教えてください よろしくお願いします
0715nobodyさん2007/10/09(火) 23:48:00ID:???
>>714
まず↓嫁
http://www.tagindex.com/html_tag/form/input_checkbox.html

あとはPOSTされたデータ読めば分かるだろ
0716nobodyさん2007/10/09(火) 23:53:23ID:???
>>714
<input type="checkbox" name="example[]" value="1">サンプル1
<input type="checkbox" name="example[]" value="2">サンプル2
<input type="checkbox" name="example[]" value="3">サンプル3
<input type="checkbox" name="example[]" value="4">サンプル4

こんな感じでname属性に[]をつけると
$_POST['example']の中に選択したやつが配列で入ってくる
0717nobodyさん2007/10/09(火) 23:55:16ID:???
勝手にURLデコードするのがうっとうしいよなPHP
0718nobodyさん2007/10/10(水) 01:04:56ID:???
>>715‐716
出来ました。ただ、登録したデータを一覧表示すると、 Array と表示します。
丸ごとDBに登録じゃまずいですよね  実用の時は、

質問2 休日の過ごし方は?(複数選択可)
<br>
 <input type="checkbox" name="q2" value="映画鑑賞">映画鑑賞
 <input type="checkbox" name="q2" value="ドライブ">ドライブ
 <input type="checkbox" name="q2" value="買い物">買い物

上記は趣味を登録するフォームなんですが、こういうのって
「映画鑑賞」「ドライブ」「買い物」の部分を生成される配列から抽出して、
「,」で連結したあとに、dbに送信してるんですか?
0719nobodyさん2007/10/10(水) 01:36:01ID:???
>>718
そんなもん、DBのテーブル設計による。

1ユーザ1レコードで格納するんならカンマで連結して1カラムに押し込み〜
なんてなるんだろうが、それだと検索しにくいし後々加工もしにくいから
「ユーザID,属性」みたいなテーブルにして、選択した数の分だけ
レコードを追加してやった方がいいんじゃないか?
その場合、連結なんてしないで数の分だけループしてinsert。
0720nobodyさん2007/10/10(水) 01:37:06ID:???
>>718
っていうか、なんで削除の話が登録の話になってんの?
0721nobodyさん2007/10/10(水) 01:53:52ID:???
>>719-720
どうもです。登録の方が削除より話がわかりやすいような気がして
登録の方で聞いてしまいました。 基本的な部分は同じだろう、と (すみません)

>その場合、連結なんてしないで数の分だけループしてinsert。
というのは
userName|shumi
-------------------
yamada|映画鑑賞
yamada|ドライブ

って形になるんでしょうか? 確かにこっちのほうがいいですねー
0722nobodyさん2007/10/10(水) 02:09:07ID:???
>>685
session_cache_limiter('private_no_expire')
でOK
0723nobodyさん2007/10/10(水) 02:09:52ID:???
>>721
>$_POST['example']の中に選択したやつが配列で入ってくる
                                                    ~~~~~~~~~~~~~~~~
って書いてあるんだからそれをそのまま表示すると型が表示されるのは普通
0724nobodyさん2007/10/10(水) 02:49:28ID:???
search.php?keyword=©
だと、htmlには©じゃなくてcと表示されてしまいます。
GETで©を取得してそのまま©と表示させるにはどうしたらいいでしょうか?
文字コードはUTF-8です。よろしくお願いします。
0725nobodyさん2007/10/10(水) 02:54:31ID:???
>>724
ID出して
07267242007/10/10(水) 03:00:00ID:P3ev0KiI
あ、すみません。
sageてました。
0727nobodyさん2007/10/10(水) 03:04:42ID:tzNR6m8r
© はあかんのか
0728nobodyさん2007/10/10(水) 03:05:47ID:tzNR6m8r
ところで、ここの人ってみんなID消してるけどなにか犯罪でもしてる人ばかりなの?
みんな???で気持ち悪いんだけど
0729nobodyさん2007/10/10(水) 03:10:52ID:???
>>728
2ch初心者乙
0730nobodyさん2007/10/10(水) 03:25:19ID:???
>>722
それです!ありがとうございました!!あんたスゴイ!
0731nobodyさん2007/10/10(水) 03:28:56ID:???
たまに詳しい人が現れるね。うれしい。
0732nobodyさん2007/10/10(水) 04:12:32ID:???
>>721
正規化について知っておくべし。メリットとデメリットも。
0733nobodyさん2007/10/10(水) 04:55:47ID:???
DBなんてFWに勝手にやらせればおk
0734nobodyさん2007/10/10(水) 05:36:39ID:???
>>733
お前の態度気に入らねから、教えねぇ。
07357332007/10/10(水) 05:40:36ID:???
別に教えてなくて結構です俺質問者じゃねえしw
まじでDBなんて覚える必要ないよ
FWが勝手にやってくれるからFWの使い方覚えたほうが数倍いい
0736nobodyさん2007/10/10(水) 06:04:03ID:???
まぁ、小規模なシステムはDBをどんな作り方しても大した問題ないし。
0737nobodyさん2007/10/10(水) 06:48:53ID:???
>>735
アマ乙。
FWの採用しているO/Rマッパが対応してない
クエリ投げる必要も結構ある
0738nobodyさん2007/10/10(水) 06:49:33ID:???
大規模なもんだとDB設計する人が設計するから
PGってあんま関係ないんだよな・・・・
小規模なもんはてきとーにDB設計しても問題ないし・・・・

>DBなんてFWに勝手にやらせればおk
って思ってる時点でしれてるが・・・
0739nobodyさん2007/10/10(水) 07:04:51ID:???
むしろデータ構造を的確に決めれればシステムは8割方できたようなもんだろ・・・
0740nobodyさん2007/10/10(水) 07:24:15ID:???
八割は言いすぎ。
そのデータ構造にデータを入れなきゃいけないのだから。
0741nobodyさん2007/10/10(水) 07:41:39ID:???
データ構造さえ決まっていれば、以降のロジックもそれに合わせて
ほぼ迷うことなく決めることができる、という意味では確かに8割完成かな。
0742nobodyさん2007/10/10(水) 07:43:17ID:???
データ入れるのなんて中学生でもできるだろ
0743nobodyさん2007/10/10(水) 07:51:22ID:???
俺、(DBの仕事をどうやって firewall にさせるんだろ…?)
小一時間沈黙…(!! frameworkか…)

orz
0744nobodyさん2007/10/10(水) 08:25:34ID:???
FWはDBの設計は自分でやらないといけないからな
0745nobodyさん2007/10/10(水) 09:18:50ID:P3ev0KiI
データベースに保存するとき

1.POSTでkeywordを取得
$keyword = htmlspecialchars($_POST['keyword'],ENT_QUOTES,'UTF-8');

2.$keywordをDBに保存

これだけで大丈夫でしょうか?
と言うより普通こうですか?
0746nobodyさん2007/10/10(水) 09:26:09ID:???
>>745
ソースのあちらこちらに、1みたいなコードがあったら、汚すぎる。
FWでやれば全て解決できるよ。
0747nobodyさん2007/10/10(水) 09:27:28ID:???
>>745
普通、DBに保存するデータにhtmlspecialchars()なんてかけない。
0748nobodyさん2007/10/10(水) 09:28:28ID:???
>>747
出力する度にhtmlspecialcharsするのが面倒だからかけて入れてますw
0749nobodyさん2007/10/10(水) 09:30:05ID:???
>>748
DBの入出力の両方にhtmlspecialcharsするのが一番安全だけど。
0750nobodyさん2007/10/10(水) 09:30:20ID:???
きみんちのデータは画面表示以外には全く使わんのか
0751nobodyさん2007/10/10(水) 09:32:20ID:???
そらケースバイケースだろ、この人が htmlspecialcharsを使っている時点でHTMLに
出力する事を前提としていると考えるのが妥当。
0752nobodyさん2007/10/10(水) 09:33:21ID:???
DBへは生のデータを入れるべき
0753nobodyさん2007/10/10(水) 09:33:49ID:???
htmlspecialcharsの本質を理解しているのかと疑いたくなるレスだなぁ。
0754nobodyさん2007/10/10(水) 09:38:29ID:OYZiPU1d
>>752
横からすみません。私もDBへ生データを入れていますが、
クライアントから送信されたデータを何もせずに入れていることに少し不安があります。

入力値が半角英数であれば、半角英数チェックを掛けてから入れますが、
日本語も含まれるような場合だと、そのまま入れています。
何かチェックをかけるべきでしょうか?
システム予約語的なマズイ文字があると前に聞いたことがあるのですが・・・
0755nobodyさん2007/10/10(水) 09:38:37ID:???
>>752
'や"はどうやって生で入れるの?
0756nobodyさん2007/10/10(水) 09:44:17ID:???
DBのエスケープ入出力関係は一昔前に万能クラスを作ってから気にしてないな、
今は抽象化レイヤがトレンド?
0757nobodyさん2007/10/10(水) 09:48:50ID:???
データ量の増加よりもリスク回避の方が優先だと思うし何より出力する度にエスケープする
というのが効率良く思えないんだけどな。効率など考えない企業向けなら何処で何をしようが
関係ないだろうけどw。
0758nobodyさん2007/10/10(水) 09:51:28ID:???
DBに入れる以前の問題として、エスケープしないといけないようなものを
画面で入力可能にしているのが諸悪の根源だよ。
0759nobodyさん2007/10/10(水) 09:53:09ID:???
>>755
そういうのはエスケープして当然
それ以外は生で入れるべき
0760nobodyさん2007/10/10(水) 09:54:21ID:???
>>758
バカ?
0761nobodyさん2007/10/10(水) 09:54:56ID:???
生発言もわからん事はないけどそのぬるさが情報流出に繋がったケースも多いい。
完璧だと思い込んでいる奴が墓穴をほるケースだわ。
0762nobodyさん2007/10/10(水) 09:55:22ID:???
バレなきゃ、何しても構わんみたいな発想で共感はできんな。
0763nobodyさん2007/10/10(水) 09:55:44ID:cLvYq00J
みなさんPHPは秀丸とかEmとかテキストとかで手書きなの?
0764nobodyさん2007/10/10(水) 09:57:13ID:???
>>762
今時モラルなんて期待しちゃいかんよ。
0765nobodyさん2007/10/10(水) 09:58:50ID:???
エスケープもしないで生でDBに突っ込むってやつは、
100%ユーザーのIDやパスワードも生で入れるタイプ。
0766nobodyさん2007/10/10(水) 10:06:57ID:???
>>765
IDは生でパスワードは暗号化しているんだけど
IDも暗号化して入れたほうがいいの?
0767nobodyさん2007/10/10(水) 10:09:28ID:???
>>766
シングルクオート使ってるIDはエスケープするだろ?
誰も暗号化とは言ってないぞ?
0768nobodyさん2007/10/10(水) 10:12:03ID:???
IDにクォートを使わせている人なんているのか・・・
0769nobodyさん2007/10/10(水) 10:12:04ID:???
>>767
すまん、早とちりした
てか、IDとパスワードはエスケープしないで使える文字を限定しているわけだが
それでもエスケープって必要なのかな
正規表現でa-zA-Z0-9\-_で弾いてる
0770nobodyさん2007/10/10(水) 10:15:05ID:???
使える文字がa-zA-Z0-9\-_だけならエスケープする必要ないだろw
0771nobodyさん2007/10/10(水) 10:15:53ID:???
IDとパスワードは、情報流出のためにするものだろ。
エスケープの目的とは全然違う。
まぁ、エスケープもしないというやつはセキュリティーに無関心だから情報流出についても無関心だと思うが。
0772nobodyさん2007/10/10(水) 10:18:27ID:???
何が困るって引継ぎの時が一番困るんだよ
書き方がかわるだけで穴が出来てしまう
0773nobodyさん2007/10/10(水) 10:19:10ID:???
A.保存するときそのまま入れる場合
DBから取り出すときは毎回htmlspecialcharsをかける

B.保存するときhtmlspecialcharsかける場合
DBから取り出すときはそのまま出力できる

どっちが効率的かと言ったらBだと思うけど。
0774nobodyさん2007/10/10(水) 10:20:42ID:???
げ、もしかしてPEARのDBライブラリ使うときに
SQL文エスケープしないとまずい?
今まで自動でしてくれるもんだと思ってたんだが・・・
0775nobodyさん2007/10/10(水) 10:23:46ID:9QH/UxMS
mysql_escape_string
pg_escape_string
0776nobodyさん2007/10/10(水) 10:32:00ID:???
バックエンドにRDBMSを据えた電子掲示板で'や"をエスケープせんとその文字使えない
つか、文字列に'を含んだSQL投げた時点でRDBMSに蹴られるやん
詰まるところクォーテーション使いたいからキチンと処理しとるで
0777nobodyさん2007/10/10(水) 10:34:28ID:???
>>776
保存するときhtmlspecialcharsかけない人って
magic_quotes_gpc = Onにしてるのかな?
まあたしかにOnにしてると生データ入れられるな。
でもmagic_quotes_gpc = Offが推奨なんだよな。
0778nobodyさん2007/10/10(水) 10:41:00ID:???
>>777
いや、普通保存するときにかけるのはmysql/pg_escape_stringであって
htmlspecialchars使う人は表示以外にデータを使わないと最初から決めてる人。
magic_quotes関係ない。
0779nobodyさん2007/10/10(水) 10:42:31ID:???
htmlspecialcharsってHTMLの特殊文字をエスケープするヤツなんだから
HTMLを出力するときに掛けるのは当然。
DBに入れるときにはDBの特殊文字をエスケープするのが当然。
DBに入れるときにhtmlspecialchars使うのはおかしい。
たまたま上手くいってるってだけだ。

0780nobodyさん2007/10/10(水) 10:46:33ID:???
magic_quotes_gpc = Onにしててもバックスラッシュでエスケープした文字だけやろ
Don't → Don\'t こんな文字列もらってもRDBMSには突っ込めんよ?
少なくとも俺の使ってるRDBMSでは駄目
普通に手抜けるんだからhtmlspecialchars通しておけばいいんでないの?
RDBMSから生のデータ引っ張り出した時はガックリくるかもしれんけど
0781nobodyさん2007/10/10(水) 10:47:59ID:???
DBに入れるパスワードは暗号化じゃなくてハッシュ化だろ
暗号化っていうと復号できるみたいなニュアンスあるから誤解をまねく
>>758のいってることはごく自然だと思うんだけどな
SQLインジェクションにつながるものはバリデータではじくもしくはエスケープして入れる
XSSにつながるデータは直接いれて出力時にエスケープする
ていうのが定説だと思うんだけど
なんでもかんでもhtmlspecialcharsすればいいっていうわけではない気がする
0782nobodyさん2007/10/10(水) 10:54:00ID:???
>>779はhtmlspecialchars使うのはおかしいと言ってる
>>780はhtmlspecialchars使うのは正しいと言ってる
うーん・・・
0783nobodyさん2007/10/10(水) 10:55:20ID:???
>>782
場合によって使い分けろということで解決するんじゃね?
0784nobodyさん2007/10/10(水) 10:57:57ID:???
結局出力時に適切な形で出力できればいい
0785nobodyさん2007/10/10(水) 10:59:25ID:???
目的と効率の差みたいな感じで意見が分かれてるだけかな。

私は効率だからPOSTであがってきたデータはhtmlspecialcharsしている事が多いい。
書き込みより読み込み回数の方がたいてい多いいしな。
0786nobodyさん2007/10/10(水) 11:04:14ID:???
お前らは、腐ったものでも冷蔵庫に入れて保存して、
取り出す時に調べれば良いっていうことかww

ダーティーなデータをDBに保存することに違和感を持たない感覚って、
プロとしてダメダメだよ
0787nobodyさん2007/10/10(水) 11:04:57ID:???
しかし
> DBに入れるときにはDBの特殊文字をエスケープするのが当然。
> DBに入れるときにhtmlspecialchars使うのはおかしい。
> たまたま上手くいってるってだけだ。
これも納得できる。
htmlspecialcharsではなくmysql_real_escape_stringを使うべきなのだろうか?
0788nobodyさん2007/10/10(水) 11:08:03ID:M9anXW7v
PHPで変数が undefined な状態を調べることってできますか?
isset()ではnullがセットされたものもtrueとなってしまいます。
0789nobodyさん2007/10/10(水) 11:10:54ID:???
>>788
strlen
礼はいらん
0790nobodyさん2007/10/10(水) 11:13:50ID:???
htmlspecialcharsではなくmysql_real_escape_stringを使うべきな気がしてきた。
0791nobodyさん2007/10/10(水) 11:14:46ID:???
>>786
いやいや、割り切りだよ割り切り。
Windowsアプリケーション等では insert文投げる時にトラブルの種になる文字は
禁則文字として「使わないでくださいね」って釘打っておけば納得してもらえるの。
ところがWebの場合、「これ、使えません」っていうと「なんでや?他んところは
使っておるやないかボケ!!」って聞き入れない。
ま、つまんねえとこで意地張ってもしょうがないじゃん。
0792nobodyさん2007/10/10(水) 11:16:16ID:???
だからどの時点でやるべきなのか、効率が良いのかの違いだけだよ
出力する時に50項目*1000ループhtmlspecialcharsを実行するのか、
それともあがって来たデータそのものに一度だけhtmlspecialcharsを
実行するのかの違いだけ
0793nobodyさん2007/10/10(水) 11:22:00ID:???
htmlタグを含んだTEXTフィールドはどうしてる?
タグと本文を正規表現で分けて処理すんのかな?
0794nobodyさん2007/10/10(水) 11:22:12ID:???
>>782
779は正統派、780はやや邪道だが目的は満たしてるし手抜きもできていいと言ってる。
0795nobodyさん2007/10/10(水) 11:25:16ID:???
>>792
考え方としては毎回動的に画面を生成する掲示板等と
更新時に静的HTMLを生成してしまうblog等との違いと一緒だよな。
それがより効率を上げ性能を向上させるものなら
多少の非汎用化も許容される場合がある。
もちろん、常時内容が変化するようなシステムなら
元になるデータだけ持っておいて毎回動的生成すべきだろう。
0796nobodyさん2007/10/10(水) 11:33:16ID:0neE8nHZ
はじめまして

自分はサイト運営をしているのですが、PHPを使ったページで

Warning: main(db/.php): failed to open stream: No such file or directory in /home/webmaster/public_html/link/yomi.php on line 21

Fatal error: main(): Failed opening required 'db/.php' (include_path='.:') in /home/webmaster/public_html/link/yomi.php on line 21

とエラーが出てきてしまい使えません。
誰かPHP等に詳しい方、対処方法を教えていただけませんか
0797nobodyさん2007/10/10(水) 11:35:02ID:???
>>788
無いんじゃないかな…
なんせ
$a = NULL;
var_dump(is_scalar($a));
の結果が「bool(false)」になるくらいで、
NULLを格納した値はPHP上では「未定義変数」の扱いになってる。
決してNULLという値が格納されたスカラー変数ではないのよ。
0798nobodyさん2007/10/10(水) 11:35:24ID:???
典型的な夏厨な質問だな
何でmail()なんて使おうと思ったの?
0799nobodyさん2007/10/10(水) 11:35:49ID:???
779の補足
効率の話は全く考えてなかった。どうすべきか、という意味で779を書いた。
表示の度にhtmlspecialcharsを掛ける負荷をなくすという目的なら
htmlspecialcharsをかけてDBへ保存すれば良い。
でも、だからといってDB固有のエスケープを掛けないで良いという事じゃない。
htmlspecialcharsを掛けてさらにmysql_real_escape_stringなどをかける。
0800nobodyさん2007/10/10(水) 11:36:27ID:???
>>796
db.phpが無いんだからdb.phpを該当ディレクトリにアップロードすればいい。
0801nobodyさん2007/10/10(水) 11:37:36ID:???
>>800
それ釣りだよw
何度も出てる
0802nobodyさん2007/10/10(水) 11:37:54ID:???
>>796
Yomi-searchのマニュアル読んでちゃんと設定すればいい。
設定しなきゃ動かんよ、それ。
0803nobodyさん2007/10/10(水) 11:38:12ID:???
Bamcompile使ったがPEAR使えないのな・・・
0804nobodyさん2007/10/10(水) 11:38:45ID:???
mysql_real_escape_stringと同等の関数を有していないDBMSは無視ですか?
0805nobodyさん2007/10/10(水) 11:39:48ID:???
>>804
たとえば?
0806nobodyさん2007/10/10(水) 11:40:14ID:???
>>801
100%釣りだよなw
0807nobodyさん2007/10/10(水) 11:41:54ID:???
>>788
<?php
$a = 100;
$a = null;
if (!isset($a)) {
  echo "empty!\n";
}
?>

emptyって表示されたけど・・・。
0808nobodyさん2007/10/10(水) 11:46:45ID:???
779は正統派だと思っていたが

例えば文字列 Don't をそのままDBに入れる人は
DBから文字列 Don't を取り出せないじゃないか!
保存するときhtmlspecialcharsかけるのが正統派だ
0809nobodyさん2007/10/10(水) 11:47:23ID:???
>>805
mysql以外のDBMS
08107962007/10/10(水) 11:51:12ID:0neE8nHZ
残念ながら釣りではないです。
回答頂いた方ありがとうございます
色々と調べてみます
0811nobodyさん2007/10/10(水) 12:01:35ID:???
つーかなんでプリペアドステートメントとか使わないの?
htmlspecialcharsとかaddslashesすりゃ良いって人よく見るけど
それぞれ用途があるんだからそれぞれの用途に合ったものを使うべき

DBに突っ込む時にhtmlspecialcharsとかしとけば表示の時楽だが
生データじゃないので再利用性が落ちるし
こういう人に限って表示の時も
再度htmlspecialcharsをしたりと言う場合が多い気がするんだけど?
0812nobodyさん2007/10/10(水) 12:04:34ID:???
MT4の重さは異常、調べたらDB設計が糞だったw
■ このスレッドは過去ログ倉庫に格納されています