【PHP】下らねぇ質問はID出して書き込みやがれ 81

**nobodyさん** · 2009/02/18(水) 21:09:16

質問者はまず>>1を良く読むこと（必須！）
過去スレ、関連スレ、FAQなどは>>2-10辺り
次スレは>>980が立てる。10分以内に立たない場合、宣言してから立てたい人が立てること。

◆前スレ
【PHP】下らねぇ質問はID出して書き込みやがれ 80
http://pc11.2ch.net/test/read.cgi/php/1233479457/

◆質問用テンプレ
【OS名】vine linux
【PHPのバージョン】php5.26
【連携ソフトウェア】mysql
【質問内容】

◆質問する時の注意
・スレを上げて自分のIDを表示させること。（メール欄に何も記述しない。専ブラのsageチェックを外す）
・己の行った操作、変更などを詳しく明記すること。
・エラーメッセージはそのまま表記すること。「エラーが出ます」だけでは回答不可。
・質問者として、態度をわきまえること。
・事前に関連リンクの公式マニュアル、リファレンス本くらいはちゃんと目を通しておくこと。
（PHPで最良の教本はこの公式マニュアル。市販の書籍は嘘が多いので鵜呑みにしない。）

◆質問後の注意
・2回目以降は最初に質問した際のレス番号を入れて、偽者防止に必ずIDを表示させること。
・解決しなくても回答をもらった場合はお礼を言うこと。
　（荒らし、煽りは除く。煽られたときも、無闇に反論せずスルーすること。）

◆回答者への注意
・誰にレスしているのか分からないと困るので、>>(アンカー)をつけて回答すること。

**nobodyさん** · 2009/02/28(土) 12:17:57

>>616
あれ、一時ファイルってファイル名変わっちゃうんだっけ？これでどう？

} elseif( substr( $_FILES['fl']['tmp_name'][$i], strlen($_FILES['fl']['tmp_name'][$i])-4, 4 ) != ".txt" ) {
↓
} elseif( substr( $_FILES['fl']['name'][$i], strlen($_FILES['fl']['name'][$i])-4, 4 ) != ".txt" ) {

.htmlがアップできないのはおまえさんの仕様だぞ

**nobodyさん** · 2009/02/28(土) 12:18:10

>>616
少しは自分で理解しようとしろよ

**nobodyさん** · 2009/02/28(土) 12:27:20

>>619
ありがとうございました。バッチリでした！

**nobodyさん** · 2009/02/28(土) 13:06:03

セキュリティに関してですが
利用者が入力するところはなし、強いて言えばリンクが○○.php?a=○&b=○の形なのでそこをいじることはできますが、
値は1桁の数字のみ通るようにしてかつそれを直接クエリに使うわけではなくswichでWHERE句用の値を選ぶようにしています。
検索もなし、セッションやクッキーは使いません。
DBはSQLiteなので.htaccessで見えないように。
エラー表示も.htaccessでphp_flag display_errors Offに。
こんな感じにしたとして、鯖自体がハッキングされたとかはのぞいてphp(html)やDBの改竄は行われる可能性はありますか？

**nobodyさん** · 2009/02/28(土) 13:25:32

教えてください。ソケットをあけて、いま届いているデータをすべて受信するにはどうすれば良いのでしょうか。
$buf=socket_read($out,2048);
で読むことはできるのですが、データが2048byteに足りていないとここで処理がブロックされてしまい、
データが2048byteの倍数でないと必ず最後でとまってしまいます。
長さを1にすれば数万回の無限ループみたいになって処理が遅いし、
長さはともかくいま届いているデータを全て読む、ブロックしない読み込み方法が見当たらなかったです。

socket_recvというメソッドもあるみたいですが、ドキュメントもまだないし
これがない時代も当然できていたはずのことなので、きっとreadで何とかする方法があるんだと思いますが…。

**nobodyさん** · 2009/02/28(土) 13:35:50

>622
悪魔の質問だな。
脆弱性の存在を示す事は可能だが、脆弱性が存在しない事を証明するのは至難の業。
セキュリティ対策の多くが「入力時点で全ての値を検証」「出力時点で全てエスケープ」のようにシステマチックなのはその辺に理由がある。

書かれている部分は安全に思える。ツボも押さえているし、他の部分で変な事をしない限り問題ないだろう。
強いて言うなら「入力する場所はなし」という言い方が若干不安かな。
hiddenだろうがなんだろうが全ての値は自由に改竄される、という前提でコーディングする必要がある。

**nobodyさん** · 2009/02/28(土) 13:47:32

マジな質問なんですが自宅サーバーでPHP動かしてます。
今まではサーバーとルータだけでやっていたのですが今回ハブを使いPCをもう一台LAN内に追加しました。
そしたら自分のサイトの表示が極めて遅くなり
ページを切り替える毎に3秒位かかります。
LAN内だけかと思いネットカフェで試しましたがやっぱり遅かったのです。

ちなみにサーバーからLANケーブルを抜くと今まで通り高速で表示されます。
そのため初めはLANの設定の問題だと思ったのですが
同じサーバー内のPHPを使ったページでも速いページと遅いページがある事に気がつきました。
しかし遅いページがなぜこれ程遅いのかが色々いじってみたのですが分かりません。
おそらくPHPの使用関数なんかの問題だと思うのですが。
何で？知ってるやつ教えてや。
逆引きとかはしてないです。

**nobodyさん** · 2009/02/28(土) 14:06:43

PHP関係ねーし

**nobodyさん** · 2009/02/28(土) 14:09:33

>>624
ありがとうございます。
>強いて言うなら「入力する場所はなし」という言い方が若干不安かな。
付け加えるとjavascriptも使わないのでプルダウンで選択とかもありません。
ほんとにリンクをクリックしていくぐらいです。
ただまあ思い当たるところは列挙しましたが洩れもあるかもしれませんし、
どちらにしろhtmlspecialchars他一応の処理はしています。
完全にとはいえないが大まかに改竄の入り口は認識できてるとみていいもんでしょうか。

**nobodyさん** · 2009/02/28(土) 14:27:23

>>622
数値1桁をチェックならまったく問題ない。エスケープ処理もいらない

**nobodyさん** · 2009/02/28(土) 14:46:51

>>614,>>618
ありがとうございます
getimagesizeでは不十分と認識しておりますので他にチェックする方法をご存知でしたらご教示おねがいします

**613** · 2009/02/28(土) 14:47:33

書き込み毎にIDが変わってしまうのですいません

**nobodyさん** · 2009/02/28(土) 15:04:01

>>629
いや、getimagesizeでいいんだよ
それに加えて、画像の保存先ではスクリプトの実行ができないようにすればおｋ

**nobodyさん** · 2009/02/28(土) 15:29:50

>>623
無限ループしてるならsocket_read()の終了条件を間違えてないか疑うな
晒してみ

**nobodyさん** · 2009/02/28(土) 15:39:05

>>631
getimagesizeは信用できるものじゃない
無知お疲れ

**nobodyさん** · 2009/02/28(土) 16:05:48

>>627
哲学的な言い方をすると、
不安に思うようなら、脆弱性はあるかもしれないね。
他人に保証を求めるとしたら、それもまた脆弱性のひとつかもしれん。
セッションでもクッキーでも環境変数でも、それぞれがどんな形で渡ってくるか、
そして渡しているか、ブラウザの挙動はどうか、そういう理解度を深めていくしかないんじゃないか？

**nobodyさん** · 2009/02/28(土) 16:06:47

>>633
何が信用できないの？

**nobodyさん** · 2009/02/28(土) 16:08:12

>>633
ヘッダの一部しか見てない。jk

**nobodyさん** · 2009/02/28(土) 17:01:27

まあ、実行権限を剥奪しておけば、考えられる最大の被害は「画像が表示されない」程度なわけだし、getimagesizeで問題ないだろ。

**nobodyさん** · 2009/02/28(土) 17:05:42

>>637
きょうび、CMSのコミッターですらその程度の認識をしてたりするから困るよな。
実行権限をはく奪って、もともとPHPは読み込み権限で動くわけだし。
画像ファイルにスクリプトインジェクションされるってのをケアしないんだろうし。

**625** · 2009/02/28(土) 17:18:45

>>626
いや、最初はそう思ったのですがどうやらPHPの関数により速度が遅くなってるようなんです。
というのもPHPの関数が少ないページは高速に表示するからです。

ただ、何の関数が遅い原因なのかが割り出せません。
何なのか分かる奴よろしく。

**nobodyさん** · 2009/02/28(土) 17:19:10

>>635-636百回読んでから回答しろ
ttp://websec-memo.blogspot.com/2007/06/php-getimagesizephp.html

**nobodyさん** · 2009/02/28(土) 18:04:55

>639
つ xdebug.profiler_enable = 1
あと、Windows機があるならWinCacheGrid

**nobodyさん** · 2009/02/28(土) 18:05:36

Grindだった

**nobodyさん** · 2009/02/28(土) 19:42:43

imagecreate使って画像生成したんだけれど
画像のファイルサイズが0kb　になって　保存できない・・・orz

ファイル名指定
header("Content-Disposition: attachement; filename=foo.jpg");
をつけても0kb・・・

どうしたらいいんだぁ・・・

**nobodyさん** · 2009/02/28(土) 20:27:57

　　　　　　　　ゴガギーン
　　　　　　　　　　　　　ドッカン
　　　　　　　　　ｍ　　　　ドッカン
　　＝＝＝＝＝）　）)　　　　　　　　　☆
　　　　　 ∧_∧ |　|　　　　　　　　　／　　　　　　　　　　／￣￣￣￣￣￣￣￣￣￣￣
　　　　　（　　　）|　|＿＿＿＿＿　　　　∧＿∧　　　＜　　おらっ！出てこい>>635-636
　　　　　「　⌒￣　|　　　|　　　　||　　　（´Д｀　）　　　　＼＿＿＿＿＿＿＿＿＿＿＿
　　　　　|　　　/ ￣　　　|　　　　|/　　「　　　＼
　　　　　|　　　|　|　　　　|　　　　||　　　 ||　　 /＼＼
　　　　　|　　　 | |　　　　|　　　　|　　へ//|　　|　　| |
　　　　　|　　　 | | 　　　ﾛ|ﾛ　　　|／,へ＼|　　|　 | |
　　　　　|　∧　| |　　　　|　　　　|／　　＼　　/　（　）
　　　　　|　|　|　|〈　　　　|　　　　|　　　　　|　|
　　　　 / /　/ / |　　/ 　|　　　〈|　　　　　|　|
　　　 / /　 / /　|　　　　|　　　　||　　　　　 |　|
　　　/ /　/ /　=-----=--------　　　　 |　|

**nobodyさん** · 2009/02/28(土) 22:16:18

>>644
どうみても、636は正しいと思うんだが

**nobodyさん** · 2009/02/28(土) 22:32:57

ヘッダの一部しか見てないって、それ以外にヘッダで判別できるところあんの？
拡張子は別にして

**nobodyさん** · 2009/02/28(土) 22:35:26

ヘッダーの一部しか見てないのは事実だ。
そこから、
> それ以外にヘッダで判別できるところあんの？
っていう展開が意味不明

**nobodyさん** · 2009/02/28(土) 22:48:34

>>647
つまり、「ヘッダの、一部しか見てない」なのか「ヘッダの一部しか、見てない」なのかってことね

**nobodyさん** · 2009/02/28(土) 22:49:44

何をいってるんだｗ

**nobodyさん** · 2009/02/28(土) 22:54:24

ごめん>>638は分かりにくかったわ
ヘッダの一部しか見てない　って、他にも判別できる部分があるようにとれない？

ヘッダの（他にも判別するところはあるけど）一部しか見てない　なのか
ヘッダの一部（で）しか見てない　なのかってことね

**nobodyさん** · 2009/02/28(土) 22:57:46

>>650もなんか分かりにくいわ
寝てくる

**nobodyさん** · 2009/02/28(土) 22:58:56

>>650-651
だいたい、そのポイント先、>>638じゃなくて>>648だろ

**nobodyさん** · 2009/03/01(日) 00:14:40

とりあえずgetimagesizeは完ぺきじゃないってこと
>>640をよく読め

**nobodyさん** · 2009/03/01(日) 00:31:01

＞このような攻撃は、アップロードするファイルのファイル名をそのまま（この例では、.php）にしているサイトでのみ有効となるのだが、そのようなサイトは実際多く存在する。

これで回避できるとも読めるわけだが、どうなんだろう。

**nobodyさん** · 2009/03/01(日) 00:31:30

６３５と６３６は自分でバイナリエディタでも開いて画像にスクリプト埋め込んでこい

**nobodyさん** · 2009/03/01(日) 00:32:37

>>654
日本語でおｋ

**nobodyさん** · 2009/03/01(日) 00:36:08

>>655
ここの連中じゃ画像に埋め込むこともできなそうだなｗ

**nobodyさん** · 2009/03/01(日) 01:09:42

そもそもファイルを区別する必要性がわからねえ
最終的にブラウザで表示できるんだから何でもいいだろ

**nobodyさん** · 2009/03/01(日) 01:18:56

画像に埋め込んだスクリプトが反応するような糞ブラウザはIEぐらいだろ

**nobodyさん** · 2009/03/01(日) 02:35:03

mb_splitで正規表現にデミリタいらないのってバグですか？

**nobodyさん** · 2009/03/01(日) 03:05:47

パーミッションの問題なんだけど、
txtファイルや、htmlファイルは、
ユーザーにrを渡さないと
ブラウザで閲覧したときに見れないんだけど、
.phpファイルは、なぜか
ユーザーに渡す権限が０でも
ブラウザでアクセスしたときに、
動作してしまうんだけど、これってなんで？

**nobodyさん** · 2009/03/01(日) 03:43:41

>>661
module版かcgi版かで若干答えが変わるかなぁ。。

ユーザって誰のこと？？

**nobodyさん** · 2009/03/01(日) 03:47:49

>>662
オーナー　｜　グループ　｜　末端ユーザー

こういう概念です

**nobodyさん** · 2009/03/01(日) 03:50:25

>>662
「CGIに関しては純粋にSuExecでの動作」

「CGI版をラッパーを使用し所有者の権限にて動作させる」

と書いてあります。

**nobodyさん** · 2009/03/01(日) 04:31:12

>>664
答えが書いてあるよ～。

Webサーバの一番基本的な動きは分かってるかな？

ブラウザが「このファイルくれ！」ってWebサーバにいうと
Webサーバは自分の中から探して、読みこんで、「処理して」、結果をブラウザに返す。
このときWebサーバもユーザとして動いてる。

こんだけ。

**nobodyさん** · 2009/03/01(日) 06:55:07

pear::authのサンプルコードで、
MySQLの例ばっかりなのだが、
これってSQLiteでもできるんだよね？

コードはどう書けばいいのかな？
特にDSNのあたり。
http://oshiete1.goo.ne.jp/qa3008843.html
このサンプルで、DSNをSQLiteに変更したものを
書いてもらえますか？

**nobodyさん** · 2009/03/01(日) 06:59:03

それから認証の実装で
pear::authを使うことの是非についても
意見を述べてもらえますか？

pearのページ見たら、認証のカテゴリだけで７つも
モジュールあるじゃないですか。

**nobodyさん** · 2009/03/01(日) 07:01:29

>>666
ぐぐればすぐ見つかるよ～

**nobodyさん** · 2009/03/01(日) 11:45:18

どうやら
質問

の人な気がするぜ

**nobodyさん** · 2009/03/01(日) 13:13:02

そんなの見りゃわかるよ

**nobodyさん** · 2009/03/01(日) 13:42:43

------------ここまで自演でした

**nobodyさん** · 2009/03/01(日) 14:46:48

PHPの書き方で<?=$msg?>のような書き方が可能/不可能に設定できる項目教えてください
(ググろうにも「<?=?>」のようなワードでは検索できなくて・・・)

**nobodyさん** · 2009/03/01(日) 14:50:54

short_open_tagでした、事故解決しました

**nobodyさん** · 2009/03/01(日) 17:35:53

phpを使いテキストの各行にある文字列（例えばここでは"hogehoge"）
が含まれているかどうかを調べるにはどのようにするのがよいのでしょうか？

**nobodyさん** · 2009/03/01(日) 17:41:35

file
foreach
preg_match

**nobodyさん** · 2009/03/01(日) 17:43:35

hogehogeがあるかどうかだけならpreg_matchはおおげさだな
strstrあたりでいいと思う

**nobodyさん** · 2009/03/01(日) 17:43:53

preg_matchがあればわざわざfileとforeachを組み合さなくてもできます

**nobodyさん** · 2009/03/01(日) 17:46:03

どっちなんだろう・・・

**nobodyさん** · 2009/03/01(日) 17:50:35

>>678
史ね
少しは与えられた材料で自分で考えろ

**nobodyさん** · 2009/03/01(日) 17:51:32

文字列探索といったら正規表現しか知らない奴って何なの？バカなの？

**nobodyさん** · 2009/03/01(日) 18:02:38

>>677の言ってることはパターン修飾子か？

$list = file("hoge.txt");
for ($i = 0; $i < count($list); $i++) {
if (strpos($list[$i]), "hogehoge") {
echo $i . "行目にhogehogeが見つかりました<br>\n";
}
}

これと同じことをできるのなら俺もぜひ教えてもらいたい

**681** · 2009/03/01(日) 18:04:25

あ、ごめん
$i行目じゃなくて$i+1か

**nobodyさん** · 2009/03/01(日) 18:20:01

if (strpos($list[$i]), "hogehoge") {
なんじゃこりゃ？

**nobodyさん** · 2009/03/01(日) 18:33:38

>>681
おれが言ってるpreg_matchがでてこないんだがアンカーミスかね

**681** · 2009/03/01(日) 18:38:49

$list = file("hoge.txt");
for ($i = 0; $i < count($list); $i++) {
if (preg_match("/hogehoge/", $list[$i])) {
echo $i+1 . "行目にhogehogeが見つかりました<br>\n";
}
}

それじゃこれで

**nobodyさん** · 2009/03/01(日) 18:41:12

>>685
動作には問題ないけど
for内にcount($list)を入れると、ループ毎にcountが実行されるので、
$cnt = count($list);

$i < $cnt

みたいにするといいよー

**nobodyさん** · 2009/03/01(日) 19:29:13

>>685
preg_matchじゃだめだった
無駄にfileとforeachしなくてもpreg_match_all使えば一行で住む

**nobodyさん** · 2009/03/01(日) 19:42:54

何行目に現れるかもわかる？

**nobodyさん** · 2009/03/01(日) 20:20:12

わかる

**nobodyさん** · 2009/03/01(日) 22:47:16

perlあがりでどうもphpはよく分からんのだが
datファイル（数字10桁）かどうかを調べるにはどうすりゃいいの？
これだとダメポ。

$datfile = 1234567890.dat;
$number = str_replace(".dat", "", $datfile);
if ($number != \d{10}){
　print "2chのdatじゃない";
} else {
　print "おｋ";
}

**nobodyさん** · 2009/03/01(日) 22:52:53

preg_match

**nobodyさん** · 2009/03/01(日) 22:54:09

>>690
$datfile = "1234567890.dat";
if (preg_match("/^\d{10}\.dat$/", $datfile)) echo "おｋ";
else "2chのdatじゃない";

**nobodyさん** · 2009/03/01(日) 22:59:06

print Thx

**nobodyさん** · 2009/03/01(日) 23:04:31

正規表現（笑）

**nobodyさん** · 2009/03/01(日) 23:16:30

まとめてファイルをアップロードする仕組みを作りたいのですが、
PHPにZIPを解凍する関数ってあるのでしょうか？

やっぱり、フォームのfile要素をいくつも用意して
1つずつ選択して送信する方法しかないのでしょうか？

**nobodyさん** · 2009/03/01(日) 23:21:54

peclとかpearとか探せば色々あるよ
zipだけでもArchiveTarとかArchiveZipとかpecl zipとか色々

**nobodyさん** · 2009/03/01(日) 23:26:26

標準クラスであるだろうが

**nobodyさん** · 2009/03/01(日) 23:27:29

ArchiveTarは違ったわ

**nobodyさん** · 2009/03/01(日) 23:29:07

>>697
それってzip関数のことでしょ？
それはpecl

**nobodyさん** · 2009/03/01(日) 23:38:13

標準であるじゃん
暗号化ＺＩＰには対応してないようだけど

**nobodyさん** · 2009/03/01(日) 23:40:37

そうだっけ？すまん

**nobodyさん** · 2009/03/01(日) 23:50:07

ID:Jolk/1HK
回答もらったらお礼ぐらい書けよｋｓｇ

**nobodyさん** · 2009/03/02(月) 00:02:07

>>693にあるやん

**nobodyさん** · 2009/03/02(月) 00:07:04

ID:Jolk/1HK=>>703

**703** · 2009/03/02(月) 00:14:22

>>704
いんや、>>692なんだけどね
別にお礼を期待して回答しているわけではないから、そんなのはどうだっていいよ

**nobodyさん** · 2009/03/02(月) 00:56:54

どうだっていいなら何で書くの？

**nobodyさん** · 2009/03/02(月) 06:17:58

アマゾンの文章を取ってきて、
一部の文を変更するプロキシみたいなの
作りたいんだけど、できる？

「この商品を買った人はこんな商品も買っています」

　　　　　　　　　　　　　　↓これを

「この商品を買ってしまったかわいそうな人はこんな商品も買っています」

みたいに変更して表示したいんだけど。

チラ見だと気がつかないって言う。
よーく見ると違いがわかるっていう。

**nobodyさん** · 2009/03/02(月) 06:18:54

>>1

**nobodyさん** · 2009/03/02(月) 06:36:54

指定したディレクトリ内から、
指定したMD5（またはSHA-1）の値を持つファイルを取得したいのですが、
なにかよい方法はないでしょうか？

やはり、一度全部取得して、
ひとつひとつ確認する必要があるのでしょうか？

よろしくお願いします。

**nobodyさん** · 2009/03/02(月) 08:01:04

$files = scandir("./doc");
$i = 2;
while($files[$i] != null ):
$files_end = $i;
$i++;
endwhile;

と、docフォルダに入っているファイル数をしらべるスクリプトですが、
while($files[$i] != null ):
の行で
Notice: Undefined offset: 5
と、Noticeが出て来ます。
この、Noticeを消すにはどうしたらいいでしょうか？

**nobodyさん** · 2009/03/02(月) 08:04:40

>>707
フィッシング詐欺はやめな

**nobodyさん** · 2009/03/02(月) 08:05:07

classの使いどころがさっぱりわからん
使えたらかっこいいんだろうなと思って
使いたい使いたいと思ってるけど結局使わないまま終わってしまう

**nobodyさん** · 2009/03/02(月) 08:08:31

>>712
すごい、カンタンなところからはじめれば？

**nobodyさん** · 2009/03/02(月) 08:10:21

>>712
変数名をclassにすればいいよ。
$class1 $class2 $class3

**nobodyさん** · 2009/03/02(月) 10:10:58

>>710
OUT => while($files[$i] != null ):

IN => while( isset($files[$i]) ):

**nobodyさん** · 2009/03/02(月) 10:18:29

>>712
無理して使わなくていいよ
所詮プログラミング手法の1つに過ぎない
世の中には全てオブジェクトにしないと扱うことができない
言語も存在するがPHPはそうではない
使いどころを意識してるうちは概念も理解できないはずだ
オブジェクト指向が何かとかは考えないで
まずはオブジェクトにしないとプログラムが動かないと思ってはじめてみるといい

**nobodyさん** · 2009/03/02(月) 12:30:23

クラスを使う利点を教えてください

**nobodyさん** · 2009/03/02(月) 12:39:55

人数が多い場合クラス分けしないと学年がばらばらごちゃごちゃになるじゃん