【PHP】下らねぇ質問はID出して書き込みやがれ 120

**nobodyさん** · 2012/06/21(木) 19:37:07.93

質問者はまず>>1を良く読むこと（必須！）
過去スレ、関連スレ、FAQなどは>>2-10辺り
次スレは>>980が立てる。10分以内に立たない場合、宣言してから立てたい人が立てること。

◆前スレ
【PHP】下らねぇ質問はID出して書き込みやがれ 119
http://kohada.2ch.net/test/read.cgi/php/1337172256/

◆質問用テンプレ
【OS名】CentOS
【PHPのバージョン】5.3
【連携ソフトウェア】MySQL ImageMagick
【質問内容】

◆質問する時の注意
・スレを上げて自分のIDを表示させること。（メール欄に何も記述しない。専ブラのsageチェックを外す）
・己の行った操作、変更などを詳しく明記すること。
・エラーメッセージはそのまま表記すること。「エラーが出ます」だけでは回答不可。
・質問者として、態度をわきまえること。
・事前に関連リンクの公式マニュアル、リファレンス本くらいはちゃんと目を通しておくこと。
（PHPで最良の教本はこの公式マニュアル。市販の書籍は嘘が多いので鵜呑みにしない。）

◆質問後の注意
・2回目以降は最初に質問した際のレス番号を入れて、偽者防止に必ずIDを表示させること。
・解決しなくても回答をもらった場合はお礼を言うこと。
　（荒らし、煽りは除く。煽られたときも、無闇に反論せずスルーすること。）

◆回答者への注意
・誰にレスしているのか分からないと困るので、>>(アンカー)をつけて回答すること。

【その他諸注意】
・SQL・正規表現・PEAR・テンプレート(Smarty等)・フレームワークは各該当スレへ

**nobodyさん** · 2012/07/14(土) 22:09:33.37

するーするー

**nobodyさん** · 2012/07/14(土) 23:40:38.99

配列に入った値をサニタイズする関数をつくったのですが、

function check($data) {
if (is_array($data)) {
return array_map('datacheck', $data);
}
else {
$d = htmlspecialchars($data, ENT_QUOTES);
}
}

シェル上では、問題なく動作しているのに、
ブラウザでPOSTされた値を上記関数に入れ込むとなぜかサニタイズされません
しかし、check(check($data))のように２回上記関数に入れ込んでやるとしっかりサニタイズされます
POSTされた値だけ１回でうまくサニタイズされないのはどうしてでしょうか

**nobodyさん** · 2012/07/14(土) 23:42:02.84

array_mapの後、転記ミスです
以下コードです

function check($data) {
if (is_array($data)) {
return array_map('check', $data);
}
else {
$d = htmlspecialchars($data, ENT_QUOTES);
}
}

**nobodyさん** · 2012/07/14(土) 23:51:27.26

サニタイズって何だよ
セキュリティの専門家に怒られるぞ
何が毒かなんて使う場所によって違う

**nobodyさん** · 2012/07/14(土) 23:53:36.17

サニタイズ言うな！

**nobodyさん** · 2012/07/14(土) 23:59:25.51

>>703なんか色々おかしい
なんで再帰みたいなことしてるのか
elseでreturnはしないのかとか色々疑問はあるけど

function h($data) {
return htmlspecialchars($data, ENT_QUOTES);
}

$post = array_map('h', $_POST);
でいいのでは

**nobodyさん** · 2012/07/15(日) 00:15:56.17

こうやって脆弱性が作られていくんだな

**nobodyさん** · 2012/07/15(日) 00:21:30.97

charsetがーとか言っちゃう人ですか
この段階でこんなことするのがそもそもおかしいけどね

**nobodyさん** · 2012/07/15(日) 01:01:39.01

ｃharsetまでいくといちいち突っ込まないけど
これはだめでしょ

半角英数字以外をすべて削除するなら
個人的にサニタイズって呼んであげてもいいよ
でも文字列長はチェックしてね

**nobodyさん** · 2012/07/15(日) 01:10:06.12

これでいけるはず。

function sanitize($data)
{
if (is_array($data)) {
return array_map('sanitize', $data);
} else {
return 'Don\'t say SANITIZE!';
}
}

**703** · 2012/07/15(日) 05:19:47.39

いろいろつっこみどころがありすみません・・・
サニタイズする関数をいくつかつくっていて、特殊文字の変換の関数が上手く動作しなかったので
誤った言い方をしてました
>>707
returnは転記するのにぬけてました・・・　再帰処理は配列であるなしにかかわらず下の関数でよしとしたかったので
function datacheck($data) {
if (is_array($data)) {
return array_map('datacheck', $data);
}
else {
$data = htmlspecialchars($data, ENT_QUOTES);
}
return $data;
}
問題は、変数に配列を入れて上記関数を通した時には問題ないのに
配列で送られてきたPOSTを通すと特殊文字が変換されない、２回通してやると変換できる
原因が知りたいのです　　変数に配列を自分でセットするのとPOSTされてくるので何か違いがあるのでしょうか

**703** · 2012/07/15(日) 05:37:24.30

補足です
どうもPOSTから受けた配列を変換用関数に入れると、配列の判定をしてはいるものの
再帰処理せず、１回目の配列判定をしたところで処理が終わってるようです
自分で変数に配列をセットした場合は、再帰処理されるのに
POSTの値が再帰処理されないのはなぜでしょう・・・

**703** · 2012/07/15(日) 06:00:50.97

$d = $_POST['data'];
var_dump($d);

$d2 = datacheck2($d);
var_dump($d2);

$d3 = datacheck2($d2);
var_dump($d3);

上記処理をかますと、
array(2) { [0]=> string(3) "<<<" [4]=> string(2) "<<" }

array(2) { [0]=> string(12) "<<<" [4]=> string(8) "<<" }

array(2) { [0]=> string(24) "<<<" [4]=> string(16) "<<" }

となります　　なぜこうなるのでしょうか・・・
string(3) string(12) と長さは変わってるようですが

**nobodyさん** · 2012/07/15(日) 10:50:26.28

>>714
>>1

**nobodyさん** · 2012/07/15(日) 11:17:01.94

>>714
$youAreUnko = $_POST['mail'] === 'sage';

**nobodyさん** · 2012/07/15(日) 12:44:31.04

PHPでできますか？

**703** · 2012/07/15(日) 14:44:00.05

サニタイズと言って入力値をエスケープするという考え自体が、
脆弱性を作りやすい間違った考えということが分かりました
ありがとうございました

**nobodyさん** · 2012/07/15(日) 15:23:31.96

PHPでOAuth認証でtwitterにつぶやきを投稿するプログラムを作ってます。

twitterの画面までは飛ぶのですが。

こちらです。
このページに対するリクエスト・トークンがありません。アプリケーションが～

みたいな文が出てきて、アプリ認証画面に飛びません。
developerのページにちゃんと登録して、キーなどはちゃんと入力しました。
今はローカルで試しています。

**nobodyさん** · 2012/07/15(日) 15:25:40.30

リクエストトークンがないから

**nobodyさん** · 2012/07/15(日) 15:38:16.39

>>720
リクエストトークンがないとはどういう意味なんでしょう？
サンプルプログラムを丸写ししてキーを入力しパスなどを変えただけなんです。

**nobodyさん** · 2012/07/15(日) 15:59:21.04

マルチ？

**nobodyさん** · 2012/07/15(日) 21:13:23.03

twitterやってないからしらんけど

・投稿するAPIがあるならその仕様をちゃんと読む
・APIがないなら通信をトレースして何をしたらどうなるかを把握して専用のクライアントを作成する

結局この2つになるんじゃないの

**nobodyさん** · 2012/07/15(日) 21:16:49.41

スレチ

**nobodyさん** · 2012/07/15(日) 21:43:34.81

>>719
アクセストークンがない。

read and wrightにしてない

おなじ内容の投稿を繰り返してる。

たぶんどれか

**nobodyさん** · 2012/07/15(日) 21:47:32.56

スレチ

**nobodyさん** · 2012/07/15(日) 22:16:56.04

そういえばピンク色のイノキとかいうのどうしてんだろうな。

**nobodyさん** · 2012/07/15(日) 22:30:26.21

wright
wright
wright

**nobodyさん** · 2012/07/16(月) 03:34:05.92

>>715
すみません、連投だからとsageてしまいました・・・
改めてお願いします
function datacheck($data) {
if (is_array($data)) {
return array_map('datacheck', $data);
}
else {
$data = htmlspecialchars($data, ENT_QUOTES);
}
return $data;
}
-----------------------------------
$d = $_POST['data'];
var_dump($d);
$d2 = datacheck2($d);
var_dump($d2);
$d3 = datacheck2($d2);
var_dump($d3);
上記処理をかますと、
array(2) { [0]=> string(3) "<<<" [4]=> string(2) "<<" }
array(2) { [0]=> string(12) "<<<" [4]=> string(8) "<<" }
array(2) { [0]=> string(24) "<<<" [4]=> string(16) "<<" }
となり、１回でエンティティ変換できないのはなぜでしょうか

**nobodyさん** · 2012/07/16(月) 05:18:47.19

>>729
datacheck2の処理が分からんから何とも言えん

**nobodyさん** · 2012/07/16(月) 09:11:06.54

学ぶ力には三つの条件があります。

第一は自分自身に対する不全感。
自分は非力で、無知で、まだまだ多くのものが欠けている。
だからこの欠如を埋めなくてはならない、という飢餓感を持つこと。

第二は、その欠如を埋めてくれる「メンター（先達）」を探し当てられる能力です。
メンターは先生でもお母さんでも、ネットの中の無名の人でもいい。
生涯にわたる師ではなく、ただある場所から別の場所に案内してくれるだけの
「渡し守」のような人でもいいのです。
自分を一歩先に連れて行ってくれる人は全て大切なメンターです。

第三が、素直な気持ち。
メンターを「教える気にさせる」力です。オープンマインドと言ってもいいし、
もっと平たく「愛嬌（あいきょう）」と言ってもいい。

「学ぶ姿勢」のある人は、何よりも素直です。
つまらない先入観を持たないから、生半可なリアリズムで好奇心を閉ざさない。
素直な人に聞かれると、こちらもつい真剣になる。知っている限りのことを、
知らないことまでも、教えてあげたいという気分になる。そういうものです。

以上、この三つの条件をまとめると、

「学びたいことがあります。教えてください。お願いします」

という文になります。これが「マジックワード」です。
これをさらっと口に出せる人はどこまでも成長することができる。
この言葉を惜しむ人は学ぶことができないのです。
学ぶ力には年齢も社会的地位も関係がありません。
>>727さんも、早く学ぶ力を身に付けてください。

**nobodyさん** · 2012/07/16(月) 11:12:31.31

phpには問題がない。悪いのは工夫しないこと。

**nobodyさん** · 2012/07/16(月) 11:36:56.93

今日も回答者のみなさま、よろしくご指導くださいませ。

**729** · 2012/07/16(月) 11:53:07.77

>>730
チェック用につくったものでした・・・　注意不足で申し訳ありません
以下、最後にします・・・よろしくお願いします

function datacheck($data) {
if (is_array($data)) {
return array_map('datacheck', $data);
}
else {
$data = htmlspecialchars($data, ENT_QUOTES);
}
return $data;
}
-----------------------------------
$d = $_POST['data'];
var_dump($d);
$d2 = datacheck($d);
var_dump($d2);
$d3 = datacheck($d2);
var_dump($d3);
上記処理をかますと、
array(2) { [0]=> string(3) "<<<" [4]=> string(2) "<<" }
array(2) { [0]=> string(12) "<<<" [4]=> string(8) "<<" }
array(2) { [0]=> string(24) "<<<" [4]=> string(16) "<<" }
となり、１回でエンティティ変換できないのはなぜでしょうか

**nobodyさん** · 2012/07/16(月) 11:56:18.41

>>734
HTMLソースを見てみることをお勧めする

**nobodyさん** · 2012/07/16(月) 12:24:47.48

>>735
お忙しい中、ご助言ありがとうございます！

**nobodyさん** · 2012/07/16(月) 12:32:52.88

>>736
ID

**nobodyさん** · 2012/07/16(月) 13:28:06.98

>>737
いつもご案内ありがとうございます。

**nobodyさん** · 2012/07/16(月) 13:31:55.86

>>735
たしかにHTMLソースを見るとしっかりエンティティ変換できてますね
ブラウザが変換されたものを認識して表示
２回目を通ると、２回変換されたものを１回分戻して表示しているから１回目が変換されたように
錯覚していたのですね
理解致しました、教えて頂きありがとうございました

ちなみに>>736は私じゃないです・・・

**nobodyさん** · 2012/07/16(月) 13:57:52.34

一つ確認なんですが、$_POSTに入ってる値って既にurldecode済みのものですよね？
出力する限りではデコード済みのようでした。
確認だけです
お願いします。

**nobodyさん** · 2012/07/16(月) 14:25:27.61

勿論

**nobodyさん** · 2012/07/16(月) 14:29:14.51

ですよねー
ありがとうございました

**nobodyさん** · 2012/07/16(月) 15:01:18.57

>>740-742
されてねーよｗ
どうやって確認したんだ

**nobodyさん** · 2012/07/16(月) 15:22:21.12

マニュアルで

**nobodyさん** · 2012/07/16(月) 15:23:35.71

オートマで

**nobodyさん** · 2012/07/16(月) 15:30:57.84

フォームの内容を送信するとき、GET か POST かにかかわらず data はブラウザによって URL エンコードされ、PHP によって URL デコードされます。要は、URL エンコード/デコードを自分で行う必要はなく、これらの処理はすべて自動的に行われると言うことです。

エンコと勘違いしてないか？

**nobodyさん** · 2012/07/16(月) 23:27:29.62

<?php
session_start();～
?>
<html>～</html>
としたとき、グーグルクロームで上の方に空白ができるって
なんとかならないですか？

**nobodyさん** · 2012/07/16(月) 23:31:36.01

サーバで処理したものを返すから
同じ結果ならブラウザでソースが変わるってのはない
PHPとは関係ないんじゃね

**nobodyさん** · 2012/07/17(火) 11:59:23.23

UTF-8 BOMで保存してるんじゃないの？

**nobodyさん** · 2012/07/17(火) 12:12:53.44

クロームでというのが気になるが別のブラウザでも同じならBOMか改行かそこらへんだな

**nobodyさん** · 2012/07/17(火) 12:18:14.11

>>747
サーバに置いてそれを見せろ

**nobodyさん** · 2012/07/17(火) 23:01:14.52

>>751
今日も親切なご回答ありがとうございます。

**nobodyさん** · 2012/07/17(火) 23:10:16.97

そのセリフも気に入ってるんだね

**nobodyさん** · 2012/07/18(水) 11:40:22.77

PHPでGUIDを発行するにはどうすればいいですか？

**nobodyさん** · 2012/07/18(水) 12:47:13.62

GUID=携帯電話の個体識別番号のことか？
発行とは？
そして>>1読め

**nobodyさん** · 2012/07/18(水) 14:31:18.93

GUIDも知らないとはさすがPHPスレ

**nobodyさん** · 2012/07/18(水) 15:14:11.38

MS嫌いだからUUIDって呼ばないと
知らないことにするってことだろ

**nobodyさん** · 2012/07/18(水) 15:17:04.27

コミュ障　VS　エスパー

**nobodyさん** · 2012/07/18(水) 15:26:02.07

PHPerだからな

**nobodyさん** · 2012/07/18(水) 16:01:21.74

うーん

**nobodyさん** · 2012/07/18(水) 16:01:30.12

ここでいいかわかりませんが質問させてください。
AjaxからPHPファイルにアクセスしてデータベースに書き込もうとしてるんですが、
そのPHPファイルにもユーザからのアクセス権限を与えないと書き込みできません。
これだと、ブラウザからそのPHPファイルに直接アクセスすることが出来てしまいます。
何か対策方法ないでしょうか？

ちなみにhtaccessで該当PHPファイルへのアクセス拒否を行うと、
書き込めなくなってしまいました。

よろしくお願い致します。

**nobodyさん** · 2012/07/18(水) 16:06:49.63

>>761
GUIDを発行してそれを認証用IDにしてチェックすればいいよ

**nobodyさん** · 2012/07/18(水) 16:13:59.13

やばいな、こいつPHPスレでAjaxについて答えやがった
PHPerじゃないのかよ…

**nobodyさん** · 2012/07/18(水) 16:20:13.34

>>761
対策はPOSTやGETで更新するサイトとなんら変わらない。
難しく考えすぎ。

**nobodyさん** · 2012/07/18(水) 16:20:49.01

Ajaxでもブラウザからアクセスするんだから
ブラウザからのアクセスを拒否したらだめに決まってんだろ

簡易的にAjax以外を拒否するなら
$_SERVER['HTTP_X_REQUESTED_WITH'] が 'XMLHttpRequest'
かどうかチェックすればいいが、
偽装可能だし携帯とかブラウザによっては対応できない

**nobodyさん** · 2012/07/18(水) 16:28:51.63

なるほど皆さんありがとうございます。
基本的に直でアクセスした場合は何も表示はされないんですが、
そのファイルのソースコードを見られるのが心配です。
基本的にアクセスすればPHPの処理が実行されるので、
ソースコードを見られる心配はないと思っていていいでしょうか？

ちょっと>>764については調べてみますが。

**nobodyさん** · 2012/07/18(水) 16:35:42.56

お前の将来のほうが心配だわ

**nobodyさん** · 2012/07/18(水) 16:39:51.44

HTTPについてちゃんと理解しなさい

**nobodyさん** · 2012/07/18(水) 16:42:58.58

>>766
ApacheならApacheの設定をきちんとしておけば、
.phpのファイルにアクセスして直接ソースコードが見られることはない
そんなのは当たり前

**nobodyさん** · 2012/07/18(水) 16:58:00.14

>>769
じゃあ安心です。
ありがとうございました

他の方もありがと！

**nobodyさん** · 2012/07/18(水) 18:12:43.13

>>767
ちょっとわろたｗ

**nobodyさん** · 2012/07/18(水) 21:57:10.90

php最強

**nobodyさん** · 2012/07/18(水) 23:04:03.60

24. メソッドと関数の違い
　→ えーと　メソッドは引数を持たなく、関数は引数を持つんだとおもいます

**nobodyさん** · 2012/07/18(水) 23:27:25.90

引数がある関数もあるし、引数がない関数もある

**nobodyさん** · 2012/07/19(木) 10:29:57.12

釣られるなよ

**nobodyさん** · 2012/07/19(木) 18:16:00.49

foreachやarrayで使われる

=>

ってどういう意味なんでしょうか？
特殊文字でグーグル検索すらできないので教えてください

**nobodyさん** · 2012/07/19(木) 19:32:58.45

SQLITEでテーブル名が数字のやつがあるんですが、

select 5555 from test order by rowid desc

ってやると、列5555の中の値が取得されずに、
5555って値が取得されてしまいます。

この原因は何なのでしょうか？

**nobodyさん** · 2012/07/19(木) 19:33:28.74

>>776
連想配列でググれ

**nobodyさん** · 2012/07/19(木) 19:40:36.16

メソッド
関数
手続き
メンバー関数
プロシージャ
コールバック
はどう違いますか？

**nobodyさん** · 2012/07/19(木) 19:46:54.79

>>777
テーブル名じゃなくてカラム名か？

**nobodyさん** · 2012/07/19(木) 19:48:55.73

'5555'

**nobodyさん** · 2012/07/19(木) 19:51:18.24

quoteIdentifier使えば

**nobodyさん** · 2012/07/19(木) 19:53:13.19

>>778
連想配列のことだったんですね！
ありがとうございます、おかげさまで理解できました！

**nobodyさん** · 2012/07/19(木) 19:53:53.64

>>779
メソッド≒メンバ関数　OOPに於ける機能、あるいはオブジェクトが持つ関数
手続き＝プロシージャ　何度も行う処理を一纏めにした関数
コールバック　登録された関数を後に呼び出す機構。array_mapとか

**nobodyさん** · 2012/07/19(木) 20:01:15.69

>>779
phpでの話か？
ならプロシージャは関係無いで

メソッドはクラスに定義された関数
クラスを実体化したらオブジェクト。オブジェクトの持ち物がメンバー。

コールバックは振る舞いの引数。普通は引数とは何らかの値やオブジェクトだが、コールバックは関数やメソッドを渡す。

**785** · 2012/07/19(木) 20:08:41.50

あぁ、一般概念のプロシージャなら >>784 の言う通り手続きのこと

そうなると文脈では784みたいな捕らえ方も無きにしも非ずだけど、オブジェクト指向の対概念として語られる場合も多い。というか、そっちの方が多いんでないかな？

**nobodyさん** · 2012/07/19(木) 20:24:02.11

メソッドとメンバー関数は完全に同じじゃないの？
C++とかなら違ったような気がするけど。

**nobodyさん** · 2012/07/19(木) 23:26:45.16

>>786
>そっちのほうが多いんでないかな？
それはない

**nobodyさん** · 2012/07/19(木) 23:35:12.93

25. オブジェクト指向
　→ 使用しないこと。実装が中途半端だという説もありますが、
　　PHP自体遅いのでOOPするとさらに遅くなり、実用に耐えません。

**nobodyさん** · 2012/07/19(木) 23:47:22.19

そろそろスレチで変なのわくので続きはマ板で

**nobodyさん** · 2012/07/20(金) 11:31:16.80

>>777
原因は、「それが仕様だから」
5555をIntegerとして返しているだけ。
``で囲め。''だと今度はstringとして認識されるぞ。
というかそんなフィールド名つけんなよ。
更に言えば、スレチもいいとこだ。

**nobodyさん** · 2012/07/20(金) 12:37:18.13

【OS名】TurboLinux8
【PHPのバージョン】4.2
【質問内容】セッションについていくつか教えてください。
■１．A.php B.php C.phpとあって、AとCでセッションを使いたいのですが
AとCだけにsession_start()を利用してよいでしょうか？（Bでもsession_start()をしないとCで
セッションが利用できないことはあるのでしょうか）
■２．セッションの有効期限(60分以上)を設定したいのですが、
ini_set('session.gc_maxlifetime', 3600);session_save_path("/tmp/hoge");
の２つを指定でよいでしょうか？
■３．２の設定は、session_start();の度に事前に実行しないといけないでしょうか。
それとも初回１回だけでよいでしょうか。
よろしくお願いいたします。

**nobodyさん** · 2012/07/20(金) 12:46:28.72

1. クッキーで持ってるから問題ない
2. 直接関係あるのはsession.gc_maxlifetime
3. 動作があったら有効期限をリセットするのが普通　つまり毎回やれ

あとPHP4は特別な事情がない限りもう使わないでくれたまえ

**nobodyさん** · 2012/07/20(金) 12:53:45.97

>>791
SQLiteはアクサングラーヴェはNGだ
シングルクォーテーションが正解

**nobodyさん** · 2012/07/20(金) 14:23:57.88

悪さん知るコンプレックス

**792** · 2012/07/20(金) 20:04:40.91

>>793
ありがとう。助かりました。

**nobodyさん** · 2012/07/20(金) 20:51:29.54

タイムスタンプで時間をmysqlに書き込み、
その値をphpで取得すると2012-07-20 18:40:42となるのですが、
配列に時間を入れて昨日だけの値を表示や今日だけの値を表示
させることは可能なのでしょうか？

**nobodyさん** · 2012/07/20(金) 20:55:06.04

mktime
strtotime
explode

このへんでどうにかしてみろ

**nobodyさん** · 2012/07/20(金) 21:00:41.56

ifの中で使うfunctionはifブロックの中で定義しようと思ったのですが、できませんでした。
こういう時は別ファイルにしてincludeするのでしょうか？
<?php
if(TRUE)
{
hoge(3);
function hoge($fuga){
return($fuga + 1);
}
}
?>

**nobodyさん** · 2012/07/20(金) 21:06:03.53

インクルードする方法もあるけどそういうときは無名関数を使う。
もっともPHPの無名関数は5.3以上じゃないと使い物にならんけど。

**nobodyさん** · 2012/07/20(金) 21:10:02.62

>>800
ありがとうございます。
調べて使ってみます。

**nobodyさん** · 2012/07/20(金) 22:20:44.18

チェックボックスのon off結果をフラグとして扱おうとしています。

チェックされた時に１が送られるというのは、できるんですが
チェックされていない時に 0を送るというのができません。

どのように記述すれば
チェックの時は１　未チェックの時は0という風にできるのでしょうか？