トップページphp
1002コメント362KB

PHP質問・雑談スレ【初心者お断り(ROM歓迎)】©5ch.net

■ このスレッドは過去ログ倉庫に格納されています
0001nobodyさん 転載ダメ©2ch.net2016/04/22(金) 08:58:11.47ID:???
PHP関する質問や雑談をするスレです。
初心者お断り(ROM歓迎)と書いてますが、初心者用のスレが用意されているからで、
難しい質問や話題をしなければいけないわけではありません。
PHPマニュアルの読み方を概ね理解していて、関数リファレンスが正しく読める方用のスレです。

PHP未導入の方や、手取り足取りが必要な初心者の方はくだスレへどうぞ。
【PHP】下らねぇ質問はここに書き込みやがれ 4
http://echo.2ch.net/test/read.cgi/tech/1457792733/

その他リンク
・PHPマニュアル
 https://secure.php.net/manual/ja/index.php
・コードテスト・貼り付け用
 http://ideone.com/
・プログラミングのお題スレ Part8 (求PHPer参戦)
 http://echo.2ch.net/test/read.cgi/tech/1444216746/

このスレで扱う話題
・PHPのコード,設定や設定値に関する質問
・常識的範囲内でのコードレビュー依頼・改良相談
・PECL,PEARに関する質問
・PHP新機能やPHP関連トレンドの話題
 (FWや非公式ライブラリの話題や特徴比較は良いが使い方から先の話題は専スレへ)
・PHPのバグ発見報告・公式に報告する前の検証依頼

このスレで扱わない話題
・直接関係ない○○特有の質問(専スレへ)
 (HH,エディタ,IDE,サーバ,OS,DB,SQL,FW,テンプレート,非公式ライブラリ・アプリケーション等)
・PHPの改造
0256nobodyさん2016/08/20(土) 16:30:34.02ID:???
2bd6-xrP+
早く帰れよゴミクズ >>3で移ったんだろ?早く消えろ
ミジンコ脳のくせに威勢だけはいいな
なんかちょろっとやったら全部見えちゃいましたじゃねえよボケ
秘匿情報入手したらの話をしてんのに馬鹿かおまえ
それがどこにあろうが同じ話
強固なシステム作ればいいなんて当たり前の話をするわけないだろカス
だからドヤ顔で当たり前のこと言って笑われてるんだろ
0257nobodyさん2016/08/20(土) 16:41:51.47ID:???
ミジンコもカニも甲殻類なんだから仲良くしろよ。
0258nobodyさん2016/08/20(土) 16:48:43.22ID:???
>>256
> だからドヤ顔で当たり前のこと言って笑われてるんだろ

カニみそくん、そろそろ理解したまえ。
君が思ってるだけのことは物事の評価の対象にならないんだよ。

君を馬鹿だという意見はたくさんあった。
私を馬鹿だという意見はどれかね? ちょっと書き出してみてくれないかな?
そうすれば、仮に肝臓で物を考えていたとしても君がどれほどアッパラパーか、
君でも理解できるだろう。
0259nobodyさん2016/08/20(土) 16:52:36.20ID:???
>早く帰れよゴミクズ

「でないと、ノータリンの僕ちゃんがここで虚勢をはれないじゃないかぁーーーーー!」

かね? 実にアッパラパーだ。
0260nobodyさん2016/08/20(土) 16:55:52.30ID:???
>>258
君を馬鹿だという意見はたくさんあったってお前だけだろwwwwww
何印象操作してんの?ゴミクズ
IDも見えないとこで見えない敵と戦わないで見えるとこに戻ったほうがいいのでは()
>>234に馬鹿にされてないことに気づかない哀れ池沼
0261nobodyさん2016/08/20(土) 16:56:28.16ID:???
>>234に馬鹿にされてることに気づかないなwwwww
おっと危うくお前みたいな馬鹿を擁護するとこだったぜwwwww
0262nobodyさん2016/08/20(土) 16:59:14.80ID:???
あと>>249に絡んでるとこも阿呆だなww
お前と同じ当たり前のことをドヤ顔で言ってるだけなのに
全く自分が見えていないwwwww
0263nobodyさん2016/08/20(土) 17:05:21.81ID:???
まさかこんな自明なことで初心者お断りスレが荒れるとは誰もが予想をしなかっただろう
0264nobodyさん2016/08/20(土) 17:12:56.92ID:???
勝手に味方にされて勝手に噛み付かれて>>234=>>249が気の毒だわ
見ればこの人だけだったね
まともに話そうと努力してたのは
俺もちょっと悪かったよ
なんかこのカンマさんにすげー悪い気がしてきたわ
0265nobodyさん2016/08/20(土) 22:23:55.74ID:???
>>260-264 (>>263は誰かよくわからん)

5時間くらい待ってみたけど、君の賛同者、現れなかったね。なんでかなー?
カニ味噌くんは文章が良く理解できないみたいだから、君がずっとこだわってる(味方だと勘違いしてる) >>234 をもう一度よく分かるように全文引用してあげるね。

>> 234 : nobodyさん2016/08/20(土) 14:05:20.60 ID:???
> >>228は口悪いし正直嫌いなんだけど内容はごく当然のことだろう・・・・・

これは、「>>228(俺)のことは悪態つくから大っ嫌いだけど、>>228(俺)の言ってることはとてもマトモなことだろう」
っていう意味だよ? 中学生なら理解できる内容だ。

> Googleにせよ何にせよ, セッションハイジャックされたところでアカウントそのものを乗っ取るにはパスワードか登録メールアドレスが必要だろう?
> 要するにアカウントの重要な情報を扱う際にはパスワードなりワンタイムキーなり要求される

これは、セッションを乗っ取られたところで、重要な場所ではIDとパスワードの組み合わせが再度求められるから
セッションIDくらい漏れたとしても大して問題ではないと言ってるんだよ。やっぱり中学生なら理解できる内容だ。

> セッションハイジャック=アカウント乗っ取り, つまりセッションキーがパスワードと等しいようなシステムは設計上の欠陥なんだよ

これは、仮にセッションIDのみを見て重要な情報にアクセスできるシステムは、その時点で欠陥なんだ
と言っている。中学生なら理解出来る内容だ。

で、君なんて言ったっけ?「セッションID = パスワードと同等 だから、クライアントにどっちが有っても一緒だ」って言ったよね。
よーく読んで、君の肝臓で考えてみよう。君の言ってることと、君が味方だと思ってる >>234 の言ってる事、同じかな?
0266nobodyさん2016/08/20(土) 22:24:04.44ID:???
もう一つ、
> あと>>249に絡んでるとこも阿呆だなww
> お前と同じ当たり前のことをドヤ顔で言ってるだけなのに

私は一度も>>249のような事は一度も言ってないよー? 中学生でも理解できる内容だけど、わからないかなー?

もう一回、年長さんくらいからやりなおそうか。そうしないとマトモな大人になれないよ?
0267nobodyさん2016/08/20(土) 22:34:31.30ID:???
カニ味噌くんは物事をマトモに理解できないから誤解のないように言うけど、
セッションIDだって漏れたらそれなりにマズいよ。
だから出来るだけ漏れないように作る。

でも、パスワードが漏れるのは、セッションIDが漏れる場合の比じゃない損害になる。

だから漏れる可能性があるところにパスワードなんか保存してはダメだ
と、君以外のみんなはずっと言っていたわけだ。

>>256 : nobodyさん2016/08/20(土) 16:30:34.02 ID:???
> なんかちょろっとやったら全部見えちゃいましたじゃねえよボケ
> 秘匿情報入手したらの話をしてんのに馬鹿かおまえ

私がずっと上の方で言った「XSSを封じているかが関与してくる」という言葉の意味を、
ちゃんと調べて勉強しようね。

仮にXSS脆弱性が存在したなら、ちょろっとやったらcookieの内容が見えてしまう可能性が十分にあるのさ。

だからXSS脆弱性を存在させないことが重要だが、かりに存在してしまったとしても大丈夫なように
cookieになんかパスワードは保存しない、というのがみんなの意見だったわけだ。

君はまったくその事が理解できなかったし、今もできていないみたいだけどね。
0268nobodyさん2016/08/20(土) 22:41:11.21ID:???
PHP初心者ですが、エラー処理をどうしたらいいのでしょうか?
新しいクラスを作ってますが、そのメソッドの中で例外を分投げたいのですが、
そのメソッド内で呼ぶ既存の関数とかで戻り値FALSEで返したりと踏んだりけったりです。
どういう方針でやるべきでしょか?お願いします。
0269nobodyさん2016/08/21(日) 00:09:05.19ID:???
長文で必死だな
ドン引きして誰も書かないだけなのに賛同者とか大笑い
ほんと空気読めないチンパンJJIはだめだわwwwww
0270nobodyさん2016/08/21(日) 00:45:04.67ID:???
セキュリティに問題があるの前提と、そうでないのを前提にした話ぶつけて
不毛な議論続けてばっかみたい…
0271nobodyさん2016/08/21(日) 00:59:00.21ID:???
>>269
新しい質問者が来てるのに構わず自分論を語ってる君、馬鹿みたいだね。
私に「向こうに帰れ」って言ってたのはやっぱり、
「お前が居ると馬鹿な僕ちゃんが虚勢張れないじゃないか」って意味だったのかなぁ?


>>268
あんまり何言ってるかよくわからんけど、
クラス内で例外投げたいなら
そのクラス呼ぶ部分でtry{}catch{}したらいいじゃない。
クラスメソッドの関数で失敗時にfalse返すなら、
クラスメソッドを呼ぶ部分でfalseが帰ったら例外スローすればいいでしょう?

同じクラスでpublicな例外投げる関数とfalse返す関数があるなら、それは設計が間違ってるから、見直し。


>>270
どうしてそう思う?

> セキュリティに問題があるの前提と
って大づかみだなぁ。これまでの流れ大して読んでないからだと思うけど
自分の言ってること、的を射てると本当に思ってるならお前もカニ味噌だよ。

セキュリティの基本は何重にも重ねて、一つ突破されても次で食い止める。

セキュリティに問題が「無い」なんて言い切れる仕様は、無いよ。
そのくらい、ちょっとシステムかじればわかるだろう?
0272nobodyさん2016/08/21(日) 01:01:38.63ID:???
>セキュリティに問題が「無い」なんて言い切れる仕様は、無いよ。

一応言っておくと、有ることは有るよ。
一切外部からの入力を受け付けないシステム。

これならゼッタイ安全だ。誰も使えないけどね。
0273nobodyさん2016/08/21(日) 01:02:42.48ID:???
PHPのスレ覗きに来る奴は本当に馬鹿ばっかだね。
だからこっちも暇つぶしには最適だ。
0274nobodyさん2016/08/21(日) 01:04:31.64ID:???
やっぱちょっと頭に血がのぼりすぎかな
聞いてないこと説法されたくないし、自分よがりなレス続けても噛みあうわけがないんよ
今日はもう寝たほうがいいと思う
0275nobodyさん2016/08/21(日) 01:08:56.48ID:???
>やっぱちょっと頭に血がのぼりすぎかな

自己紹介?

こっちは昼寝したので暇つぶしなんだけど、貴方の言ってることよくわからんね。

>聞いてないこと説法されたくないし

されたくなければ馬鹿なこと言わなければいいだけじゃん。
貴方の言ったのがどれか全くわからんけど。

>今日はもう寝たほうがいいと思う

貴方がね。お休み。一晩寝て馬鹿が治ると良いね。
0276nobodyさん2016/08/21(日) 01:09:24.09ID:???
匿名なのをいいことに他人を卑下することしか出来ず
それを楽しみにするような歪んだ性格の持ち主は、ちょっと…ね…
もうちょっと大人になろう
0277nobodyさん2016/08/21(日) 01:11:05.94ID:???
>>269 : nobodyさん2016/08/21(日) 00:09:05.19 ID:???
> 長文で必死だな

ああ、やっぱり100文字超えると理解できなくなるカニ味噌脳の人だったか。

それは君の脳力の問題だから自分でなんとかしてくれないと、こっちではどうにもならないなぁ。

必至なのは、長い文章を理解しようとしても出来ない君のことだからなぁ。
0278nobodyさん2016/08/21(日) 01:14:36.21ID:???
>>276 : nobodyさん2016/08/21(日) 01:09:24.09 ID:???
> 匿名なのをいいことに他人を卑下することしか出来ず

匿名なのをいいことに浅い知識で適当なことしか言えず、
それを否定されたら全く筋の通らない言い訳・反論を繰り返す方が
人間としてどうなの?

って、大人の僕としては思うけど、あなたは自分の面子さえ保てれば
何が正しいかどうか何て関係ないと思っているおこちゃま?

匿名なら恥ずかしい事言っても誰だかわからないから、
言った時だけいい気分になれるもんね。

それを否定されたら居場所なくなっちゃうから必至で守りたいわけだ。
「向こうに帰れ」と言いたくもなるよねぇ。うんうん。まさにゴミクズだ。
0279nobodyさん2016/08/21(日) 01:19:38.84ID:???
匿名なことをいい事に好き勝手な事をいってるのは俺じゃなく、

>>213 : nobodyさん2016/08/19(金) 16:39:36.92 ID:???
> >>204
> いやいや、漏れたら一緒だろ
> 一緒じゃないというなら、何が違うか説明しろ

このカニ味噌君だって事を、そろそろ気付こうよ。

俺は匿名でなくとも問題ないことしか言ってない。仮に相手がマトモなやつならという条件でな。
でもカニ味噌くんみたいな頭おかしい奴が世の中には沢山いるから匿名でいるだけだ。

これは、同じ匿名で発言したとしても本質的に全く違うことだ。
0280nobodyさん2016/08/21(日) 01:21:01.06ID:???
まだいたのかチンパン野郎
お前がやっぱPHPスレ潰した張本人だったようだなwww
煽り長文オナニー続けてもうなりかけてるようだが向こうも時間の問題だな
管理されてない状況下でスレ潰すには1人のゴミクズで十分なのがよくわかる
虫ばっか喰って頭おかしくなってんだろ糞長野県民が
0281nobodyさん2016/08/21(日) 01:26:21.15ID:???
>>271
ありがとうございます。クラスの設計での例外の扱いの話です。
>>同じクラスでpublicな例外投げる関数とfalse返す関数があるなら、それは設計が間違ってるから、見直し。
で、例えば、全部例外投げる関数にします。
で、その実装において、preg_match関数を使うとします。この関数は失敗すると例外投げずに
FALSEが返るらしいんですが、全部それらをハンドリングして、
わざわざ例外に変換してthrowする感じですかね?
0282nobodyさん2016/08/21(日) 01:29:46.78ID:???
>>281の続きです。
既存の関数とかは失敗時に例外投げずにFALSE返さすようなのが結構ありそうで
めんどくさそうだなぁと思った次第です。
0283nobodyさん2016/08/21(日) 01:32:01.71ID:???
>>281
> で、その実装において、preg_match関数を使うとします。この関数は失敗すると例外投げずに
> FALSEが返るらしいんですが、全部それらをハンドリングして、
> わざわざ例外に変換してthrowする感じですかね?

そうなるね。

例外の便利なところは、ビジネスロジックとしてアトミックな処理ができる所。
アトミックっていうのは、成功するか失敗するかどっちかで、一部だけ成功って言う状態がないこと。

これはエラーハンドリングが凄い楽になる。

関数単位でいちいちfalse判定して例外投げるのは大変そうに見えるけど、
実は、原因不明のバグをものすごく簡単に潰せるようになるよ。
0284nobodyさん2016/08/21(日) 01:34:50.87ID:???
>>281
ちなみにPHPでは標準のエラーを例外に変換出来る機能があるから調べてみること。

PHP5系までではFatalエラーは例外に変換できなかったけど、
PHP7からFatalエラーも例外に変換できるようになった。
これは重要な進化だ。
0285nobodyさん2016/08/21(日) 01:36:53.75ID:???
>>280 : nobodyさん2016/08/21(日) 01:21:01.06 ID:???
> まだいたのかチンパン野郎

自分もまだいるのに、他人に「まだいたのか」ってカニ味噌くんは本当に面白いなぁ。
お家に鏡ないのかな?
0286nobodyさん2016/08/21(日) 01:38:08.27ID:???
http://php.net/manual/ja/class.errorexception.php
ここの例を参考にしてErrorExceptionを補足すればいい
0287nobodyさん2016/08/21(日) 01:42:37.43ID:???
>>285
お前はこのスレにいちゃいけない
なぜならこのスレに不満を持っているからだ
わかるか?さっさと出ていけばチンパン?wwww
しかしお前PHP馬鹿にしつつPHP大好きなんだなwwww
Quitaとか自己主張強いオタ野郎丸出してマジ引くわーwwww
0288nobodyさん2016/08/21(日) 01:45:15.68ID:???
頭でっかちで社会から相手されない典型
ずっと高地で引きこもってろよチンパンwww
0289nobodyさん2016/08/21(日) 01:47:08.78ID:???
>>287
>お前はこのスレにいちゃいけない

お前がこのスレにいたらお前が困るだけだろw

>しかしお前PHP馬鹿にしつつPHP大好きなんだなwwww

PHPを馬鹿にしたことは一度もないけど、なんか天から声が聴こえるタイプかな?

>Quitaとか自己主張強いオタ野郎丸出してマジ引くわーwwww

匿名で2chに落書きする事しかしたことないカニ味噌くんにはわからないだろう。
キータは君みたいなおサルさんが進化するアイテムとしては、とても良く出来ている。
本当にゴミクズ記事ばかりだが、それらを集めたら結構な資産になるから不思議だ。

だからググッてキータが上位に来ても、別にイラッとしない。
それらを合わせて解をだせばいいだけだ。

カニ味噌では理解できないのもわかるけどな。
0290nobodyさん2016/08/21(日) 01:48:38.53ID:???
>>288
> ずっと高地で引きこもってろよチンパンwww

低地にいる猿もいるんだが、知らないのかい?
で、引きこもってるのはどう見ても君だろう。
0291nobodyさん2016/08/21(日) 02:40:57.09ID:???
>>283,284,286
ありがとうございます。おかげですっきりしてきました。
>>ここの例を参考にしてErrorExceptionを補足すればいい
set_error_handlerとかは、クラスライブラリを作成する側で使ってはいけませんよね?
クラスライブラリの利用者やアプリの開発者側で使うものですよね??
ということで、クラスライブラリの方では、先ほどのpreg_matchの例だと
if (preg_match( ) === false) {
 $detail = error_get_last();
 throw new ErrorException($detail['message'], 0, $detail['code'], $detail['line'], $detail['file']);
}
で、こんな感じで例外に全部変換しておきます。
0292nobodyさん2016/08/21(日) 12:09:24.42ID:???
>>291

> if (preg_match( ) === false) {
>  $detail = error_get_last();
>  throw new ErrorException($detail['message'], 0, $detail['code'], $detail['line'], $detail['file']);
> }
> で、こんな感じで例外に全部変換しておきます。

いや、投げるのはErrorExceptionじゃない方が良いと思うよ。
ErrorExceptionはPHP側のWarningやNoticeが発生した場合に投げる。

自分で判定して投げる例外と、言語的なエラーで投げられる例外の区別つかなくなっちゃうから、
自分で判定して投げる例外は単にExceptionにするか、
Exceptionを継承した独自例外クラスを作ってそれのオブジェクトを投げるようにした方が良いと思う。

そうすると、catchする例外で処理が分けられるから随分エラーハンドリングとデバックが楽になるはずだ。
0293nobodyさん2016/08/22(月) 10:30:09.61ID:???
>>194から始まった話題ということがわかってない奴おおすぎ。
それに絡めて、>>196から「自動ログイン」の話も始まってる。

で、>>201(妥当)なんだが、>>202から話の流れがわかってない奴が発狂という流れ。
0294nobodyさん2016/08/22(月) 10:32:20.54ID:???
で、>>228がアホの極みで、いつのまにかサーバで保持しているセッション情報が全て流出するとか、
システムで管理しているユーザID・パスワードが全部流出するとかいう話に勝手にして沸騰。

そんなのそれより上の流れと違うに決まってるでしょ。
0295nobodyさん2016/08/22(月) 10:53:53.94ID:???
まぁ、何するにせよ、coockieはhttponlyでsecureにしてSSL使えというのがFA。
0296nobodyさん2016/08/22(月) 14:08:56.99ID:???
俺が見る限り>>203=>>201がアホな発言したからこんなに荒れたように見えるが。

ユーザーのパスワードが漏れるのと一時的なパスワード以外のセッション情報が
漏れるのを完全に同一視した>>203の発言が発端。
0297nobodyさん2016/08/22(月) 14:48:13.83ID:???
>>296
> ユーザーのパスワードが漏れるのと一時的なパスワード以外のセッション情報が
> 漏れる
正しくは違う。

cookieに保存されているなにかが漏れたときに話で、それがユーザID+パスワードだろうが
PHPSESSIDだろうが、その他の(自動)ログインに必要な情報だろうが、漏れたら一緒だろってこと。

まぁ、一緒というのは言いすぎで、もちろんセッションが無効になってたりしたら事情は違うが。
0298nobodyさん2016/08/22(月) 14:49:23.98ID:???
で、PHPSESSIDだって漏れたら困るわけで、だからみんな漏れないようにしてる。
0299nobodyさん2016/08/22(月) 14:58:43.11ID:???
>>297
一緒の「主語」がはっきりしてないけどさ(俺もだったけど)。
被害が一緒じゃないから>>228は1人のケースじゃわかりづらいから規模を10000人にして、
10000人のパスワードが漏れるのと10000人のセッションIDが漏れるのとで、
システム管理者の対策が同じなのかよ??って疑問を投げかけたんじゃないの??
もちろん、セッションID漏れるのもまずいけど、

パスワード漏れると、パスワード変えられてアカウントハックされるし、
セッションID漏れても、パスワード変更するときに再ログイン強制させてれば、多少大丈夫だし
完全に一緒じゃないじゃんって話をみんなしてたんじゃないの??
0300nobodyさん2016/08/22(月) 15:00:12.17ID:???
だから、事の発端は

>>203=>>201が完全に一緒みたいな事を言ったのが事の発端で、

それに対して他が完全に一緒じゃないって反論してたんだろ
0301nobodyさん2016/08/22(月) 15:05:35.05ID:???
>>まぁ、一緒というのは言いすぎで、もちろんセッションが無効になってたりしたら事情は違うが。
自分で同一じゃないって言ってんじゃん。
パスワード漏れるのとセッションID漏れるのとでは、「「完全」」に一緒じゃないから、
クッキーにセッションID格納するのと同じ感覚でパスワードも格納なんかしないよって他はいってんでしょ。

だから、事の発端は>>203のパスワード漏れるのとセッションIDが漏れるのを「「「完全に同一」」みたいな
発言をしたことなんだよ。
それに対して他が「「完全に同一」」じゃないって反論してるんだよ。
0302nobodyさん2016/08/22(月) 15:07:10.79ID:???
>>299
> 10000人のパスワードが漏れるのと10000人のセッションIDが漏れるのとで、
> システム管理者の対策が同じなのかよ??って疑問を投げかけたんじゃないの??
それ、サーバ側で情報が漏れたときの話じゃないの?

> パスワード漏れると、パスワード変えられてアカウントハックされるし、
普通変えないでしょ。

>>300
> それに対して他が完全に一緒じゃないって反論してたんだろ
反論のポイントが見当違いだってこと。
0303nobodyさん2016/08/22(月) 15:11:45.28ID:???
>>301
> クッキーにセッションID格納するのと同じ感覚でパスワードも格納なんかしないよって他はいってんでしょ。
俺は>>203じゃないから違ってるかもしれないけど、>>203は、自動ログインを実現するためにセッションIDや
ユーザID+パスワードじゃない何かを使ったとしても、もしそれが漏れたら一緒だろと言ってると思う。

パスワードを格納するよと言ってる奴は誰もいなくて、多分>>194もそのユーザIDとパスワードを保存するような
困ったちゃんがいるんだが、って報告なんだと思う(想像)。
0304nobodyさん2016/08/22(月) 15:11:45.95ID:???
>>302
>反論のポイントが見当違いだってこと。
見当違いとは思わんけど、みんなそこ(>>203=>>201)に反論してるんだよ。

話の流れ理解できないで騒いでたのか・・・
0305nobodyさん2016/08/22(月) 15:18:52.99ID:???
はあ、そうですか。
完全一致じゃないことなんか自明なんで、そこにこだわってるなんて想像できなかったわ。

あと蛇足だけど、ブラウザにパスワード覚えさせろって人がいたけど、PCにログインされちゃえば
Chromeなんかは生パスワードが全見えなんで気をつけろよ。
0306nobodyさん2016/08/22(月) 15:40:10.81ID:???
>>305
そもそもOSのユーザパスワードが漏れたら生パスワードが見られるのは当然だろう
0307nobodyさん2016/08/22(月) 15:46:37.72ID:???
PC使われたら基本アウト
0308nobodyさん2016/08/22(月) 15:49:19.67ID:???
漏れなければ、ユーザIDとパスワードをcookieに保存して自動ログインに使っても問題ない
0309nobodyさん2016/08/22(月) 15:49:20.94ID:???
君がどの発言したか知るよしもないが、
>>完全一致じゃないことなんか自明
とかいっておきながら>>296
>>>201(妥当)
>>201つまり>>203が妥当とか言ってるのがようわからん・・

>>217の人だって
>(例えばセッション情報等の)ログインに必要な情報 =(結局password同様)
>という等号が成り立つと思ってるところが
>お前がアホ極まれリなところ。
要するにセッションIDが漏れるのとパスワードが漏れるのが「完全に同一か?」
どうかを問題にしてて、みんなそこにこだわってそこ(>>203=>>201)を議論してるんじゃね?
0310nobodyさん2016/08/22(月) 15:57:25.91ID:???
>>309
これ以上議論する意味はほぼないと思うが、本意が伝わってないと思われるのでもう一度書く。

>>201が言ってるのは(俺の想像にすぎないが)
> 要するにセッションIDが漏れるのとパスワードが漏れるのが
という対立構造じゃなくて、自動ログインを実現する場合に、いずれにせよ何らかの情報を
cookieに保存せざるを得ず、それが漏れるのとcookieに保存したユーザID+パスワードが
漏れるのは同じでしょ言ってるんだと思う。

で、俺もそう思う。
何が一緒なのかというのは、「漏れたら第三者にそれを使ってログインされるというセキュリティリスク」。
セッションが有効な間のPHPSESSIDも同じ。
0311nobodyさん2016/08/22(月) 16:03:10.87ID:???
>>310
「漏れたら第三者にそれを使ってログインされるというセキュリティリスク」に限っては同一かもしれないが, セキュリティリスク全体として見ればパスワードの漏えいの方が遥かに重大
その上で「漏れたら一緒でしょ」って言ったらそりゃ反論されるでしょうよ
パスワードをCookieにせよSessionにせよ生で保存するのがあり得ない, という前提が文脈から判断出来れば, 経緯は変わってたと思うけども
0312nobodyさん2016/08/22(月) 16:09:34.37ID:???
>>311
> パスワードをCookieにせよSessionにせよ生で保存するのがあり得ない, という前提が文脈から判断出来れば, 経緯は変わってたと思うけども
>>201はそれが前提だと俺は読んだんだが。

> password以外のログインに必要な情報はクライアントが持ってるんだし
つまり、passowrdを保存しない場合でも、という前提の話。
0313nobodyさん2016/08/22(月) 16:11:39.32ID:???
つか、>>201出てこいや
0314nobodyさん2016/08/22(月) 16:14:33.21ID:???
>>194があって, >>195-200まで(>>197を除いて)「保存しないでしょ」って流れがあった上で>>201でしょ?
「パスワードをCookieにせよSessionにせよ生で保存するのがあり得ない」の流れを否定するように読めこそすれ, その逆にはちょっと読めないなぁ

まぁ本人居ないからあんまり有意義ではないけど(居ても有意義でないだろうけども)
0315nobodyさん2016/08/22(月) 16:17:31.68ID:???
>>200
> cookieが安全かどうかはブラウザがhttponlyに対応しているかとXSSを封じているかが関与してくる。
> そんなとこにpasswordを入れるかどうか議論したい馬鹿がいるのか?
> もっと言うと、自動再ログインにpassword利用する猿がいるのか?

>>201
> password以外のログインに必要な情報はクライアントが持ってるんだし
> それが漏れたら一緒でしょ

の流れで、201の「それ」がpassowrdだとは読めないんですが・・・。
0316nobodyさん2016/08/22(月) 16:21:15.74ID:???
>>315
「それが漏れたら一緒でしょ」というのは話の流れとして「[password以外のログインに必要な情報]が漏れたら[passwordが漏れるのと]一緒でしょ」と読めるわけだ
0317nobodyさん2016/08/22(月) 16:28:18.43ID:???
>>316
え、一緒でしょ(ループ)
0318nobodyさん2016/08/22(月) 16:30:49.43ID:???
この話もういいんじゃねww
0319nobodyさん2016/08/22(月) 16:33:00.44ID:???
まあ俺からすれば、「話の流れ理解できない」奴は>>204以降の奴でしょといいたいだけなんだがね。
もう止めとくかw
03202222016/08/22(月) 18:00:31.26ID:???
0321nobodyさん2016/08/22(月) 18:56:15.46ID:???
まだチンパンいたのか?向こうのスレでもケンカしてるようだがお前暇人でいいな
ニートにゃ台風もくそもないかww
0322nobodyさん2016/08/22(月) 20:04:51.91ID:???
>>313

>>321 ← こいつがその馬鹿みたいだよ。
0323nobodyさん2016/08/22(月) 20:13:10.95ID:???
なんか今日は向こうもこっちもアホばっかで、2chじゃ話の流れがよくわからん。
つーか、お前ら月曜日の真っ昼間に何やってんだよ。仕事ねーのか?
0324nobodyさん2016/08/22(月) 21:22:49.99ID:???
ワッチョイの有り難みがよくわかったね。やったね。
0325nobodyさん2016/08/22(月) 21:41:01.14ID:???
向こう?ってどこ??
プログラム版に似たスレあったっけ?
0326nobodyさん2016/08/23(火) 18:06:29.08ID:???
ワッチョイあろうがなかろうが>>324みたいな馬鹿が1人で暴れてるってのがよくわかるだろ・・・
0327nobodyさん2016/08/23(火) 18:11:06.61ID:???
結局暴れるだけ暴れてID表示しないとこうなるとんだぞ!って自作自演して
板移動して優等生ぶってみたけど化けの皮が剥がれてこの有り様
0328nobodyさん2016/08/25(木) 16:23:53.31ID:???
化沿った
0329nobodyさん2016/08/25(木) 20:58:08.84ID:???
はりぼてのパンダじゃ、客は呼べないのさ。
誰も嘘や虚勢なんか求めてないからな。
知識のない馬鹿が市民権もてると思うことがそもそもの間違いだ。
0330nobodyさん2016/08/26(金) 01:01:58.37ID:???
きも
0331nobodyさん2016/08/26(金) 15:48:45.90ID:6NKaLduj
「ファイルがあったらインクルード」
という処理をするとき、file_exists()を使うべきか
@include("unko.php"); は行儀が悪いか

file_exists()を使用するメリット・デメリットは
パスが明確でインクルードパスを辿らせない?

あとはどこまで適当に済ましてよいか
ソースレビューないなら@includeでいっか
0332nobodyさん2016/08/26(金) 16:25:09.91ID:???
きも
0333nobodyさん2016/08/26(金) 17:10:56.60ID:???
>>329
何こいつ頭おかc
0334nobodyさん2016/08/26(金) 17:38:55.05ID:???
>>331
file_exists はディレクトリを見つけたときも真
0335nobodyさん2016/08/26(金) 18:11:24.75ID:???
初心者お断りとは一体何だったのか
0336nobodyさん2016/08/26(金) 19:34:58.65ID:???
ワッチョイがいやでいやで仕方なくてスレ立てたんでしょう。
推して知るべし
0337nobodyさん2016/08/27(土) 11:36:24.63ID:???
ワッチョイとかいってる池沼がきも
0338nobodyさん2016/08/27(土) 18:47:42.29ID:???
formで入力画面→送信画面と、$_POSTでsession_id()値渡ししてますが
session_destroy()やクッキー削除はCSRFなどに対して、以下それぞれで
した方が安全でしょうか?しないほうが無難でしょうか?

(1)ページ遷移時session違いで強制終了時。
(2)正常にメール送信完了時。
(3)メール送信でエラー時。
0339nobodyさん2016/08/27(土) 19:11:44.97ID:???
会員登録系?
1はまぁ放棄するのは妥当として
2は閉じてサヨウナラならそれでもいいけどブラウザ閉じたらきれるしあえてやる必要は感じない
正常に事が済んでるならセッション乗っ取ったところで何もできないし
トップに戻ってログイン済みセッションで何か続きやらせるようならだめだろう
3はクライアント側の入力ミスなんかで前の画面に戻してやる必要があるかもしれない
まぁユーザビリティ考慮しつつケースバイケースだな
0340nobodyさん2016/08/27(土) 20:03:44.76ID:???
>>339
詳しくありがとうございます。
ただの問い合わせフォームです。

補足ですが他にsession使う所はなく
このform入力画面でstartさせています。
エラーでない限り入力画面に戻ることもないと想定しています。

正常完了時はできれば他のページにアクセスしていただき
(関係ないかもしれませんが)google検索などを設置しています。

1の放棄とはdestroyなどするということでしょうか?
0341nobodyさん2016/08/28(日) 01:44:55.03ID:???
問い合わせが終わったらどっか行けってひどくね?w
ていうか問い合わせフォームでセッション開始ってことは
会員制サイトでログインとか必要なわけじゃないんでしょう?
ただの問い合わせフォームでセッションなんて普通使わんよ
0342nobodyさん2016/08/28(日) 03:15:06.03ID:???
>>339
制度の悪いエスパーほどひどいものはないなぁ
0343nobodyさん2016/08/28(日) 11:18:22.05ID:???
サイトのCGIコードをユーザーが読む方法ってないのですか?
0344nobodyさん2016/08/28(日) 15:11:38.82ID:???
>>343
あるよ。

header('Content-type: text/plain; charset=utf-8');
echo file_get_contents($path);

こんな感じでいいんじゃない?w
0345nobodyさん2016/08/28(日) 17:09:51.26ID:???
phpsでぐぐれ
0346nobodyさん2016/08/28(日) 17:13:56.91ID:???
phpsでぐぐったけど普通すぎて有益な情報がぱっとは出て来なかった
とりあえずphpのコードをいつものphpではなくphpsっていう拡張子にしてそれにアクセスしてみれ
0347nobodyさん2016/08/29(月) 00:34:15.93ID:???
>>341
>問い合わせフォームでセッションなんて普通使わんよ

えっ
0348nobodyさん2016/08/29(月) 01:17:12.44ID:???
いやhiddenで十分だろ
0349nobodyさん2016/08/29(月) 15:13:29.84ID:???
個人情報管理が緩いとこならな
0350nobodyさん2016/08/29(月) 15:17:00.41ID:???
>個人情報管理が緩いとこならな
問題点をまったく理解していない
0351nobodyさん2016/08/29(月) 17:00:19.62ID:???
>>347
複数ページに渡る大フォームでもなければ、セッションはいらんぞなもし。
0352nobodyさん2016/08/29(月) 17:53:51.04ID:???
またこの流れか・・・
0353nobodyさん2016/08/29(月) 22:10:38.13ID:???
>>341
どっか行けとは書いてないと思うが・・・
サイト内誘導はしてるでしょ
0354nobodyさん2016/08/29(月) 23:10:45.82ID:???
>>351
質問者です。入力画面の各チェックが訳あってjsのみなのですが
それでも仕掛けられる心配は全くないということでしょうか?
根本なところですみません。
0355nobodyさん2016/08/29(月) 23:27:30.61ID:???
php使えるのになんでjsのみなんだ?
送信されてきた時点でサーバでもチェックを行わないと
フォーム外からだってpostできるんだしjsをあてにしてはだめ
まあ別にその入力値チェックとかCSRFとは関係ないんだけど
0356nobodyさん2016/08/30(火) 00:09:57.94ID:???
クライアントサイドでの入力チェックはおまけでしかない
■ このスレッドは過去ログ倉庫に格納されています