トップページphp
1002コメント362KB

PHP質問・雑談スレ【初心者お断り(ROM歓迎)】©5ch.net

■ このスレッドは過去ログ倉庫に格納されています
0001nobodyさん 転載ダメ©2ch.net2016/04/22(金) 08:58:11.47ID:???
PHP関する質問や雑談をするスレです。
初心者お断り(ROM歓迎)と書いてますが、初心者用のスレが用意されているからで、
難しい質問や話題をしなければいけないわけではありません。
PHPマニュアルの読み方を概ね理解していて、関数リファレンスが正しく読める方用のスレです。

PHP未導入の方や、手取り足取りが必要な初心者の方はくだスレへどうぞ。
【PHP】下らねぇ質問はここに書き込みやがれ 4
http://echo.2ch.net/test/read.cgi/tech/1457792733/

その他リンク
・PHPマニュアル
 https://secure.php.net/manual/ja/index.php
・コードテスト・貼り付け用
 http://ideone.com/
・プログラミングのお題スレ Part8 (求PHPer参戦)
 http://echo.2ch.net/test/read.cgi/tech/1444216746/

このスレで扱う話題
・PHPのコード,設定や設定値に関する質問
・常識的範囲内でのコードレビュー依頼・改良相談
・PECL,PEARに関する質問
・PHP新機能やPHP関連トレンドの話題
 (FWや非公式ライブラリの話題や特徴比較は良いが使い方から先の話題は専スレへ)
・PHPのバグ発見報告・公式に報告する前の検証依頼

このスレで扱わない話題
・直接関係ない○○特有の質問(専スレへ)
 (HH,エディタ,IDE,サーバ,OS,DB,SQL,FW,テンプレート,非公式ライブラリ・アプリケーション等)
・PHPの改造
0155nobodyさん2016/08/04(木) 19:59:39.18ID:???
>その入力内容が原因でエラーが発生したという場合もあるのだから
欠陥PHPer
0156nobodyさん2016/08/04(木) 22:54:18.36ID:???
テストケース書かないの?
0157nobodyさん2016/08/04(木) 22:57:55.21ID:???
>>147は想定する必要のないことまで想定するタイプなのかな
0158nobodyさん2016/08/05(金) 07:56:52.51ID:???
秘匿情報もログに全部出すべきだって言っちゃって引っ込みつかなくなってるだけだから
もうほっといた方がいいよ。
馬鹿だからプライドが一番大事なんだから、そいういう奴は。
0159nobodyさん2016/08/05(金) 10:55:34.15ID:???
パスワードをログに出しとけば入力エラーなのかどうかすぐにわかるのに、
それをしない奴ってマゾか何かなのか
0160nobodyさん2016/08/05(金) 10:57:27.14ID:???
うちでは、エラーログに$_GET, $_POSTの内容全部出してる
調査楽だし
0161nobodyさん2016/08/05(金) 10:58:43.00ID:???
>>158
> 秘匿情報もログに全部出すべきだって言っちゃって引っ込みつかなくなってるだけだから
俺は逆にログに「出すべきじゃない」って奴のほうが引っ込みつかなくなってるように見えるが
0162nobodyさん2016/08/05(金) 11:30:43.27ID:???
>>159
最近はパスワードをログに出すのは良くないっぽいよ
システムのログでもデフォじゃパスワードっぽいのは *** にされる
おかげで入力ミスかどうかを調査するとき難儀したわ

ログには生の情報出せよ・・・ といつも思うわ
ログレベルで出力絞るのはいいけど、加工すんなや
0163nobodyさん2016/08/05(金) 14:09:14.63ID:???
うちもset_error_handler()で一括ログ出力してるから、個別の事情なんか考えずに
$_GET, $_POST, $_SESSION, $_COOKIE, backtrace
を毎回全部出してるから、ログイン処理で致命的エラーが発生したら、パスワードも出力されるよ。
(E_NOTICE, E_USER_NOTICEはエラーログ出力しないとかはあるけど)

まぁ、エラーログ見られなきゃいいんじゃねーの的な。
0164nobodyさん2016/08/05(金) 14:11:38.28ID:???
何が問題かをプログラム側で調べる努力もせずに
調査楽だという理由にしても秘匿情報そのまま出すとか基地外
0165nobodyさん2016/08/05(金) 14:27:12.27ID:???
>>164
どこに出すかによるだろ
中か、外か、ゴム内かでそれぞれまったくケースが異なるのはわかるよな?
0166nobodyさん2016/08/05(金) 15:43:30.42ID:???
>>164
> 何が問題かをプログラム側で調べる努力もせずに
意味がわからん
0167nobodyさん2016/08/05(金) 17:43:50.33ID:???
>>164
で、君はどうやってるの?
0168nobodyさん2016/08/05(金) 18:36:53.61ID:???
エラーログを見れる権限でログインされるレベルの事象が発生したら、エラーログ内の秘匿情報がどうこういう問題じゃなくなる可能性大
0169nobodyさん2016/08/05(金) 23:23:47.40ID:???
$items = [ [key=>’a’, value=>’va’], [key=>’b’, value=>’vb’]… ]
みたいな連想配列からユニークなvalueの一覧を作成するのってどうするのが一般的でしょうか。

とりあえず思いついているのは以下の通りです。1で大丈夫か心配です。

1. foreach( $items as $item )
if ( ! in_array($item[‘value’], $uniques )
$uniques[] = $item[‘value’]

2. foreach( $items as $item )
if ( ! isset( $item[‘value’], $uniques ))
$uniques[‘$item[‘value’]] = 0; // 0はダミー

3. array_column して array_unique

4. array_flip
0170nobodyさん2016/08/05(金) 23:33:19.70ID:???
>>164が攻撃される意味が分からん
テストケース書けば済む話
0171nobodyさん2016/08/06(土) 08:22:43.60ID:???
>>166
素人は初心者スレいけな
0172nobodyさん2016/08/07(日) 01:59:22.71ID:???
>>169
1でいいけど条件文いれんでも$uniques[$item['value']]+=1;とかにしてarray_keys()とかkey()で取ればいいんじゃねと思う
配列操作はたいていforeachが早いイメージだけど3のやり方も好き
0173nobodyさん2016/08/07(日) 08:54:37.17ID:???
>>172
それが2でしょう。
+=1 する意味は分からんが。
0174nobodyさん2016/08/07(日) 12:35:28.47ID:???
2も条件文入ってるだろう。
重複してれば何個重複してるかわかるし0入れるよりはいいんじゃね。
0175nobodyさん2016/08/07(日) 13:01:13.41ID:???
条件文抜きにして += 1 にするとNOTICE出るようにならない?
2から条件文抜くだけならいいけど。
0176nobodyさん2016/08/07(日) 13:59:05.52ID:???
notice出したくないなら条件文なり三項演算子でやらないとだめだね
01771692016/08/07(日) 15:48:01.41ID:???
レスありがとうございます。
1より2の方が速そうだけども、キーだけが重要な配列は違和感が強く心配だったので意見いただけて助かりました。
集計にもなるって見方はなかった・・・どこかで使わせてもらいます。
0178nobodyさん2016/08/08(月) 09:32:58.64ID:???
>>168
なにいってんのこいつ
0179nobodyさん2016/08/08(月) 14:44:32.91ID:???
>>170
> テストケース書けば済む話
素人は初心者スレいけな
0180nobodyさん2016/08/08(月) 14:54:28.09ID:???
AよりBの方が速いとかいうのは、大抵100万回やって100ms程度違うとかそんなパターンが多い
0181nobodyさん2016/08/08(月) 15:54:57.80ID:???
悔しいやつが1人いるようだ
0182nobodyさん2016/08/08(月) 16:53:05.12ID:???
PHPerには素人しかいないわけだがw
0183nobodyさん2016/08/08(月) 19:07:01.10ID:???
>>178
そいつはいまだに敵は外にしか居ないと思ってる馬鹿だ。ほっとけ。
0184nobodyさん2016/08/12(金) 15:36:43.59ID:???
エラーログにパスワードを出力すると発狂する
0185nobodyさん2016/08/12(金) 17:14:20.68ID:???
$_SESSIONに突っ込む馬鹿もいるな。何に使うんだよ。
0186nobodyさん2016/08/13(土) 00:20:42.61ID:???
いないだろ
さすがにお前らつくり話がすぎるぞwww
0187nobodyさん2016/08/13(土) 11:20:29.98ID:???
$_SESSIONは実話だよ。プログラマ仲間が見た仕事で、流石に呆れてた。
0188nobodyさん2016/08/13(土) 13:46:49.50ID:???
関数定義してんのに、その中身をそのままコピーして各方面で使うバカもいるんだから何が来ても俺は動じない
0189nobodyさん2016/08/13(土) 20:36:20.52ID:???
たぶん188は初心者だったころの本人の体験談だな
0190nobodyさん2016/08/14(日) 05:54:00.76ID:???
全ページのPHPに同じ関数をコピペして定義したとかな
あったあった
0191nobodyさん2016/08/14(日) 13:52:21.17ID:???
もっと高度な馬鹿もいるぞ。

メンバ変数全てにゲッターとセッターを作ってそれ経由で値を出し入れしてるんだが、全メンバ変数 public。

プログラムの方もメチャクチャなんだが、そっちはもう、キチガイすぎて語りきれない。
0192nobodyさん2016/08/14(日) 14:05:05.36ID:???
getter setter自体要らねーだろって代物
0193nobodyさん2016/08/14(日) 14:31:47.30ID:???
全くいらないわけではない。

だが、全部の変数用のgetter、setterを作るのは、間違いなく思考停止した馬鹿。
そういうのは昔のデバッガが貧弱だった時代に妥協策だっただけだ。
0194nobodyさん2016/08/18(木) 13:52:33.66ID:???
cookieにuser_idとpassword(生)が保存されてるんだが
0195nobodyさん2016/08/18(木) 14:05:59.58ID:???
クッキーにパスワードは保存しないなぁ
ユーザーIDは普通に保存するけど
いや普通はセッションIDだけか
あーでもユーザIDくらいならついでに置いとくか
0196nobodyさん2016/08/18(木) 14:28:41.06ID:???
パスワードなんてのは保存するかどうかはブラウザの機能に任せるのが普通で
いちいち再ログインのための仕組みをプログラマー側が用意する必要はないだろ
0197nobodyさん2016/08/18(木) 17:42:27.41ID:???
それ、お前の「普通」だよね
0198nobodyさん2016/08/18(木) 19:50:44.85ID:???
クライアント側にセキュアに保存出来るならいいけどそうでないならブラウザに任せるべきだな
0199nobodyさん2016/08/18(木) 22:40:16.06ID:???
俺は大丈夫ってやつに限っておもらしするからな
いくらクッキーが安全といってもそれを適切に管理できないと凶器でしかない
0200nobodyさん2016/08/19(金) 00:15:57.40ID:???
cookieが安全かどうかはブラウザがhttponlyに対応しているかとXSSを封じているかが関与してくる。
そんなとこにpasswordを入れるかどうか議論したい馬鹿がいるのか?
もっと言うと、自動再ログインにpassword利用する猿がいるのか?
0201nobodyさん2016/08/19(金) 01:32:24.21ID:???
password以外のログインに必要な情報はクライアントが持ってるんだし
それが漏れたら一緒でしょ
0202nobodyさん2016/08/19(金) 01:54:04.00ID:???
えぇ・・・・・?
0203nobodyさん2016/08/19(金) 02:02:30.14ID:???
password以外の(例えばセッション情報等の)ログインに必要な情報は(結局password同様)クライアントが持ってるんだし
それが漏れたら一緒でしょ
0204nobodyさん2016/08/19(金) 03:43:44.27ID:???
正気?
0205nobodyさん2016/08/19(金) 10:46:10.69ID:???
>>203
初心者にもほどがある
0206nobodyさん2016/08/19(金) 12:58:11.17ID:???
PHPしか知らない奴って、この程度の認識なんだろうよ。
0207nobodyさん2016/08/19(金) 13:01:18.67ID:???
どうやら猿は存在したようだな… 実に素晴らしい世界だ。
0208nobodyさん2016/08/19(金) 13:05:46.20ID:???
railsしか知らん奴も似たようなもんだと思うぞ
0209nobodyさん2016/08/19(金) 13:23:55.93ID:???
そもそもパスワード入力させてる時点で、キーロガーやソーシャルハックの可能性もあるし
0210nobodyさん2016/08/19(金) 14:17:27.06ID:???
>>209は「全く話の本質がわかってません」っていう自己紹介だな。
論点がぜんぜん違うよ。
0211nobodyさん2016/08/19(金) 14:27:14.14ID:???
ガラケー用にGETパラメーターでセッションID付けざるを得ない事が昔は良くあったわけだ。

ある会社のWEBサービスが、皆さんよくご存知のセッションフィクセーション脆弱性があって、
その事を報告したら、
「んー、でもこれはガラケーに対応するにはしょうがないですからねぇ」
と言っていて、
『ああ、こいつどうしようもないな…」と思いながら、「まぁ、そうですね」と適当にあしらっておいた。
完全に避けることが出来ないのは事実だけからな。本人が良いって言ってるなら良いんだろう。
そんなサービス、俺は絶対使わないけど。

そのアホ管理職は経由したサーバーにどうしても残ってしまうセッションIDと、
だれかが罠はって仕掛けたセッションIDが受け入れられてしまう問題を同じだと考えている、

わけではなく、全く何がどうなっているのか分かっていない。

>>209の言っていることは、そういうことだ。
0212nobodyさん2016/08/19(金) 14:33:27.48ID:???
ちなみに、それ以上突っ込まなかったのは
問題があるのはそこだけじゃなかったからだ。
もはや、マトモな箇所がほとんど見当たらないシステムばかりで、
1つ1つ指摘したとして、
言っている事が理解できるようなマトモな奴なら、そもそもこんな自体にはなっていないから、
危うきに近寄らず、ということでとっとと逃げた。
0213nobodyさん2016/08/19(金) 16:39:36.92ID:???
>>204
いやいや、漏れたら一緒だろ
一緒じゃないというなら、何が違うか説明しろ
0214nobodyさん2016/08/19(金) 19:27:08.88ID:???
>>204-207
0215nobodyさん2016/08/19(金) 19:28:51.84ID:???
サーバ側でIPと結び付けてるようなシステムだけではないぜ
0216nobodyさん2016/08/19(金) 19:36:38.37ID:???
PHPを勉強し始めて2日なり。
どんどん覚えるから、よろしくなり。
0217nobodyさん2016/08/19(金) 21:07:15.26ID:???
>>213
(例えばセッション情報等の)ログインに必要な情報 =(結局password同様)
という等号が成り立つと思ってるところが、
お前がアホ極まれリなところ。


>>215
お前誰?どういう論旨でそれを言ってるの?
結びつけてるシステムだけではなかったらなんなの?
0218nobodyさん2016/08/19(金) 23:39:15.84ID:???
よおアホ
0219nobodyさん2016/08/19(金) 23:39:21.14ID:???
>>213
高々数時間程度の有効期限しか持たない, システム側が都度生成する(したがってユーザのidentificationには使えない)セッションキーと
少なくとも数ヶ月程度の有効期限を持ちクライアントが選択するパスワード

これが各々漏れたときに「一緒」って, 寧ろどこが一緒なのかお尋ねしたいのだが
0220nobodyさん2016/08/19(金) 23:59:37.98ID:???
数時間の有効期限のセッションキーとか正気か
そんなもんをログイン保持に使うわけ無いだろ
0221nobodyさん2016/08/20(土) 00:01:20.37ID:???
あと漏れる期間の問題じゃない
一度でも侵入されたらそれで終わりだから
0222nobodyさん2016/08/20(土) 00:04:02.49ID:???
相変わらず違うレイヤの話を混ぜて議論をしているのだなぁ。
猿はどっちだろうか。
0223nobodyさん2016/08/20(土) 00:23:18.92ID:???
>>220,221
どういうシステム想定してるのか教えて, 認証系周りだけでいいから
0224nobodyさん2016/08/20(土) 00:35:17.65ID:???
>>219
で、お前はセッションIDが漏れないような対策はしてるのか?してないのか?
してるとすればそれはなぜ?
0225nobodyさん2016/08/20(土) 00:50:10.29ID:???
>>223
gmail
0226nobodyさん2016/08/20(土) 01:20:53.23ID:???
デフォルトの設定では、最短1440秒でセッションは破棄される
つまり、ログイン保持には使えない

という前提で話は進んでるか?
0227nobodyさん2016/08/20(土) 01:52:27.09ID:???
password保存するって時点で長期間ログイン可能なの想定してんだろ
0228nobodyさん2016/08/20(土) 08:31:31.02ID:???
ID制から又こっちに来たのは大失敗だったような感じだな。
誰が誰だかわからん部分が何レスかある。


とりあえず、>>213のやつでいいと思うんだけど、
対象を1人で考えてるだろ。

10000万人規模で考えて、全員のパスワードが漏れた場合と、全員のログインセッションが漏れた場合の両方で、
どう対応するか、それぞれのシナリオ書いて、そのあとシステム管理者は何をするか考えろ。

それから
>一度でも侵入されたらそれで終わりだから

本当にそれで終わりかどうか、一般的なシステムはどうなってるか見てみろ。
特にAmazonあたりは参考になると思うぞ。

お前がいかにアホかよく分かるはずだ。
0229nobodyさん2016/08/20(土) 09:53:14.24ID:???
向こうに帰れよ知恵遅れ
0230nobodyさん2016/08/20(土) 12:21:55.17ID:???
自己紹介得意だな
0231nobodyさん2016/08/20(土) 13:12:10.87ID:???
別にお前なんか呼んでないしもう二度とくんなよ
0232nobodyさん2016/08/20(土) 13:50:06.19ID:???
>>231
お前こそが、もうちょっとあっちで勉強してきたほうがいいと思うよ。
そうしないとお前は一生ゴミクズのままだ。
わかってるんだろう? 自分でも。
0233nobodyさん2016/08/20(土) 14:04:31.93ID:???
大失敗といいつつまだ居座るキチガイ()
0234nobodyさん2016/08/20(土) 14:05:20.60ID:???
>>228は口悪いし正直嫌いなんだけど内容はごく当然のことだろう・・・・・

Googleにせよ何にせよ, セッションハイジャックされたところでアカウントそのものを乗っ取るにはパスワードか登録メールアドレスが必要だろう?
要するにアカウントの重要な情報を扱う際にはパスワードなりワンタイムキーなり要求される
セッションハイジャック=アカウント乗っ取り, つまりセッションキーがパスワードと等しいようなシステムは設計上の欠陥なんだよ
0235nobodyさん2016/08/20(土) 14:06:24.09ID:???
>>228で自分が賢いことを書いたつもりらしいwwww
こでがチンパンの限界wwwwww
0236nobodyさん2016/08/20(土) 14:09:29.88ID:???
重要な情報にアクセスする時に再度ログインを求めるようにすればいい(ドヤァ
0237nobodyさん2016/08/20(土) 14:34:41.49ID:???
アクセス1分差で、>>234に未然に論破される超絶アホの>>235カワイソスw
ちょーかわいそすw ちょーかわいそすw
0238nobodyさん2016/08/20(土) 14:39:00.35ID:???
>>213=>>231=>>235ってことなんだろうが、
そろそろ気づけ。向こうでも言ったとおり、お前はサルなんだと。
そしていい加減に進化する努力をしろ。
0239nobodyさん2016/08/20(土) 14:42:40.05ID:???
コイツは何をいってんだ?頭が相当悪いようだな
0240nobodyさん2016/08/20(土) 14:44:01.97ID:???
結局お前もこうやってIDなしのスレじゃないといきがれないんだろクズ
0241nobodyさん2016/08/20(土) 14:45:23.05ID:???
しかし>>237が本気でわからん
こいつはマジでヒトモドキなのか?早く氏んだほうがいいぞwww
0242nobodyさん2016/08/20(土) 14:50:05.06ID:???
>>234が自分の味方してくれたとか思ってるガイジwwwww
0243nobodyさん2016/08/20(土) 15:10:05.68ID:???
>>228は一緒に仕事したくないタイプ
>>213は関与したプロジェクトにあらゆる意味で関わりたくないタイプ
0244nobodyさん2016/08/20(土) 15:10:37.23ID:???
重要な情報がどこにあるかなんて人それぞれじゃね?
あがってるGmailなんてログインしたらもうその先はメール読み放題だし
Amazonだってカード番号下4桁以外は伏せられてるものの
名前やら住所やらの支払い情報は再ログイン必要なしに見れるし
0245nobodyさん2016/08/20(土) 15:14:05.33ID:???
>>243
> >>228は一緒に仕事したくないタイプ

なんで?おまえ、そんなに俺に突っ込まれそうなこと沢山あると自覚してるの?
0246nobodyさん2016/08/20(土) 15:15:45.70ID:???
> 242 : nobodyさん2016/08/20(土) 14:50:05.06 ID:???
> >>234が自分の味方してくれたとか思ってるガイジwwwww

馬鹿かお前は。敵か味方か、とか。漫画でも読みすぎてるんじゃないか?

肝心なのはどっちの言ってることが正しいと >>234 が思ったか、だ。
お前みたいなダチョウ級の脳みそでもそれは分かったからそんなに連投してるんだろう?
0247nobodyさん2016/08/20(土) 15:20:28.67ID:???
ようアホ
何が正しいと思ったかだよwwww笑わせんなwwwwwww
お前が何を正しいことを言ったって?
管理者の対応とかどっちが漏れてもユーザにとっては変わらない損失をよそに斜め上なことを言って
>>244の例の通り個人情報駄々漏れのAmazon例に出して馬鹿丸出しじゃねーかwwww
>>234はただお前に呆れてるだけだっつーのwwww
0248nobodyさん2016/08/20(土) 15:23:18.98ID:???
>>244 : nobodyさん2016/08/20(土) 15:10:37.23 ID:???
> 重要な情報がどこにあるかなんて人それぞれじゃね?

いい加減に気づけ。

どこに何を保存しているかなんて関係ないんだ。
保存されている場所にアクセするのにどんな手段があるかが問題なんだ。

何の秘匿情報も持っていない奴が、なんかちょろっとやったら全部見えちゃいました

って可能性のあるところに「見られてはいけないもの」を保存するのは馬鹿だろう?っていう話をしてるんだ。

これで分かんなきゃお前はカニ味噌以下だ。ちなみにわかってると思うが、カニ味噌は脳みそですらないからな。
0249nobodyさん2016/08/20(土) 15:23:36.98ID:???
>>244
システム側にとって最も重要なことは, 利用者やシステムが攻撃者の踏み台にならないことだ
アカウント乗っ取りはその踏み台になり得るという点で最も重点的に対策しなければならん
0250nobodyさん2016/08/20(土) 15:25:22.79ID:???
>>247
>管理者の対応とかどっちが漏れてもユーザにとっては変わらない損失をよそに斜め上なことを言って

おまえ、>>234読んだか?
それとも、文字が100文字超えると理解できなくなる脳の障害でもあるのか?

詰まってるのがカニ味噌なら、脳ではなくて肝機能障害あたりか…
0251nobodyさん2016/08/20(土) 15:27:02.51ID:???
>>249
>システム側にとって最も重要なことは, 利用者やシステムが攻撃者の踏み台にならないことだ

どこの誰の定義だよw ノータリン

「最も」って言葉好きだよな、馬鹿は。

システム管理側が考えなければいけないことは沢山有るんだよ? カニ味噌くん。
0252nobodyさん2016/08/20(土) 15:30:09.80ID:???
>>247 : nobodyさん2016/08/20(土) 15:20:28.67 ID:???
> ようアホ

さっきからお前もこっちもずっといるのに、なんで改めて挨拶してるの?
ゆだー、ちょーうけるー

ってJKなら言いそうだな。俺は別に「こいつ、本物のアホだな」と思うだけだけど。
0253nobodyさん2016/08/20(土) 15:33:27.19ID:???
>>247 : nobodyさん2016/08/20(土) 15:20:28.67 ID:???
> >>244の例の通り個人情報駄々漏れのAmazon例に出して馬鹿丸出しじゃねーかwwww

自分で書いた何の証明もされていない事を「例の通り」という程の馬鹿は、本当にたまにしか居ないな。まさしくカニ味噌だ。

ほれ、駄々漏れの証拠出してみろ。ソースだ。分かるか? ウスターとかじゃないぞ。
0254nobodyさん2016/08/20(土) 16:03:44.99ID:???
結局は欠陥糞サイト乙で終わる話なのに、
何おまえらはサルカニ合戦やってんだ?
■ このスレッドは過去ログ倉庫に格納されています