PHP質問・雑談スレ【初心者お断り(ROM歓迎)】©5ch.net
■ このスレッドは過去ログ倉庫に格納されています
0001nobodyさん 転載ダメ©2ch.net
2016/04/22(金) 08:58:11.47ID:???初心者お断り(ROM歓迎)と書いてますが、初心者用のスレが用意されているからで、
難しい質問や話題をしなければいけないわけではありません。
PHPマニュアルの読み方を概ね理解していて、関数リファレンスが正しく読める方用のスレです。
PHP未導入の方や、手取り足取りが必要な初心者の方はくだスレへどうぞ。
【PHP】下らねぇ質問はここに書き込みやがれ 4
http://echo.2ch.net/test/read.cgi/tech/1457792733/
その他リンク
・PHPマニュアル
https://secure.php.net/manual/ja/index.php
・コードテスト・貼り付け用
http://ideone.com/
・プログラミングのお題スレ Part8 (求PHPer参戦)
http://echo.2ch.net/test/read.cgi/tech/1444216746/
このスレで扱う話題
・PHPのコード,設定や設定値に関する質問
・常識的範囲内でのコードレビュー依頼・改良相談
・PECL,PEARに関する質問
・PHP新機能やPHP関連トレンドの話題
(FWや非公式ライブラリの話題や特徴比較は良いが使い方から先の話題は専スレへ)
・PHPのバグ発見報告・公式に報告する前の検証依頼
このスレで扱わない話題
・直接関係ない○○特有の質問(専スレへ)
(HH,エディタ,IDE,サーバ,OS,DB,SQL,FW,テンプレート,非公式ライブラリ・アプリケーション等)
・PHPの改造
0357nobodyさん
2016/08/30(火) 00:50:18.93ID:???製作者が楽するために使うと痛い目みるよ。
つい先日も、フォームの<select/>タグを完全に信じているせいで、
DBを完全に自由に操作できるクソシステム見たばかりだ。
「ああ、こいつら、本当に馬鹿だったんだ」と思った。
0358nobodyさん
2016/08/30(火) 01:29:43.68ID:???向こうだったかな?
0359nobodyさん
2016/08/30(火) 01:49:31.40ID:???0360nobodyさん
2016/08/30(火) 03:14:01.35ID:???今となってはこれもまた十分な目的になってしまったなぁと、おっさんは思う
0361nobodyさん
2016/08/30(火) 06:32:20.77ID:???秋、大変が起きる
本当なんだ、本当なんだ、本当なんだ
命の危険が迫っている
皆救われて欲しい
どうか皆頼む
http://hirohifumiyamato.blog.fc2.com/
0362nobodyさん
2016/08/30(火) 10:49:05.84ID:???> JSでチェックとかHTML5の制約で制限とかはサーバー負荷を減らすためのものなので、
> 製作者が楽するために使うと痛い目みるよ。
JSでチェックするからサーバではチェックしないという意味なら、痛い目見るよ。
0363nobodyさん
2016/08/30(火) 11:43:14.15ID:???ちょっとした入力ミスなどがあるままサーバに来るなよ
という意味じゃないの?
クライアントでやってるチェック以上のチェックを
サーバ側でも普通にやるっしょ
0365nobodyさん
2016/08/30(火) 13:48:55.67ID:???0366nobodyさん
2016/08/30(火) 15:04:31.45ID:???0367nobodyさん
2016/08/30(火) 15:24:42.28ID:???0368nobodyさん
2016/08/30(火) 17:13:54.73ID:???0369nobodyさん
2016/08/30(火) 17:38:42.21ID:???0370nobodyさん
2016/08/30(火) 17:40:27.40ID:???さっさと向こうへお帰りいただいてえんやで
0371nobodyさん
2016/08/30(火) 20:54:10.63ID:???入力画面でのjs使用は各要素を簡単に多彩に操作できて
入力するごとにリアルタイムでメッセージ出せたりできるからです。
(PHPでもできるのかもしれませんが私がそっちの方が詳しくて楽なので)
かつ最終画面のサーバ側でもPHPでチェックします。
jsは無効にされて簡単に成りすまされるからと
PHPと、受け渡しは厳重にと、他スレで忠告されまして。
0372nobodyさん
2016/08/30(火) 21:11:53.45ID:???ちょっと何を言ってるかわからないですね。
=で結ぶものじゃないでしょうに。
0373nobodyさん
2016/08/30(火) 21:14:18.97ID:???そもそもhiddenでも信用できないと聞いてsessionに至ったのですが間違ってますか?
>>363
>ちょっとした入力ミスなどがあるままサーバに来るなよ
楽もありますがそれもあります。メール送信直前でも最終チェックしてます。
あるサンプルが、入力画面jsと確認画面phpとで同じチェックをしてて疑問に思い
調べていくうちに今に至ってます。
0374nobodyさん
2016/08/30(火) 22:25:08.33ID:???これ間違いでPHPでも同じチェックしてるんだよね?
同じチェックしてる疑問はもう解決してるんだよね?(上の方で答え出てるけど)
>そもそもhiddenでも信用できないと聞いてsessionに至ったのですが
hiddenは信用できないはあってるけど、POSTで渡してるなら外部から渡せるからそれだけじゃだいたい一緒
0375nobodyさん
2016/08/30(火) 22:29:28.83ID:???hiddenは危険って記事をipaが出してるばかりにとりあえずhiddenは使っちゃだめと誤解してるやつがいるが
そんなただやばいものならhiddenなんて仕組みがあるわけないだろ
危険かどうかは内容によるって話だ
今回の件は完全に杞憂
0376nobodyさん
2016/08/30(火) 22:44:14.60ID:???フォームに渡すけど
hiddenなんて問い合わせフォームじゃ使わないってのが正解
セッションもいらない
0377nobodyさん
2016/08/30(火) 22:48:36.85ID:???確認画面で編集可能にするのか?readonlyとかもできるけど
0378nobodyさん
2016/08/30(火) 22:56:07.71ID:???信用云々ってのがそもそもナンセンスなんだが
下らないとこで躓くより自動返信に心当たりのない方はメールを無視して下さいの文言追加しとけな
0379nobodyさん
2016/08/31(水) 01:58:35.77ID:???間違ったメールアドレスを、書いた奴が悪いだけ
仮に、他人のメアドを書いても、それを君は判別できるのか?
0380nobodyさん
2016/08/31(水) 03:55:45.55ID:???0383nobodyさん
2016/08/31(水) 13:12:46.20ID:???0384nobodyさん
2016/08/31(水) 13:29:10.25ID:???問い合わせページ:
* session_start()
* 何らかのロジックでトークンを生成
$token = hash('sha256', session_id());
=> FORMにhiddenで埋め込む
POSTを受け取るページ:
* session_start()
* $token = hash('sha256', session_id())
* $_POST['token']と$tokenを比較
0385nobodyさん
2016/08/31(水) 14:15:47.29ID:???・PHP側でもちゃんとチェックしような。値改変だけじゃなくscriptもあるぞ
#hiddenうんぬん
・CSRFが気になるなら384
・簡単な問い合わせだしCSRFが気にならないなら、何もしなくていい
これでだいたい皆意見あってるんじゃない
0386nobodyさん
2016/08/31(水) 14:18:53.65ID:???でもあれってほとんどは正規にアクセスして送ってない?
CSRF対策とは違う気がするんだけど
0387nobodyさん
2016/08/31(水) 16:33:49.33ID:???個人情報が表示される、決済が完了する、核が発射される
とか重要なことを決定させるような場面で
なりすました第三者がその決定をできてしまうと困るからやるわけで、
たいして重要でもなければ、成りすまし放題の問い合わせフォームでやるのはあまり意味がない。
自サイトに対する、いたずら(攻撃)サイトを作らせないという意味合いはちょっとあるが、
攻撃者の知識次第でワンタイムトークンを適切に処理するロジック(≒BOT)が組めるわけで、
ハッカー気取りの知恵遅れ以外には効果がない。
反外国企業・サイトならともかく、。そもそもそんなことする物好きもいないだろう。
0388nobodyさん
2016/08/31(水) 17:18:02.00ID:???認証OKになって初めてセッションを作成するから意味がある。
0389nobodyさん
2016/08/31(水) 17:30:25.71ID:???GET contact.phpでセッションが開始されて、正しいtokenを取得できるんじゃ意味ないわ
0390nobodyさん
2016/08/31(水) 18:21:45.33ID:???0391nobodyさん
2016/08/31(水) 19:22:07.89ID:???問い合わせを送信すると、確認として入力メッセージが入力メールアドレスに対して自動送信される仕組みだったらとても便利そうだよね
0392nobodyさん
2016/08/31(水) 19:35:30.08ID:???入力者のIPとかも付いてきたりするけどあれは意味がわからん
成りすまし問い合わせで多くメールがきて同一IPだったら
こっちは面倒で関与しないからIP情報渡しとくからそっちで警察に相談してね
みたいな無言の圧力でもかけてるんだろうか
0393nobodyさん
2016/08/31(水) 22:34:25.58ID:???てか、こっちは初心者お断りじゃなかったのか?
向こうの質問のほうがレベル高かったりする気がする。
0394nobodyさん
2016/08/31(水) 22:46:37.22ID:???に訂正しとくね。
>>388の言うように、認証システムの場合は>>384の処理の意味合いが変わってくるからね。
そういう意味では、セッション使っとけば、どっちにも転べるのでお手軽ではあるけど、
非認証のお問い合わせフォームなら別のリロード対策のほうがさらに楽だったりするから、
いちいちセッションなんか使う必要ないね。
0395nobodyさん
2016/08/31(水) 22:47:51.44ID:???お前の中ではそうなんだろう
レベル低いからお前はこっちのほうがお似合いだな
0396nobodyさん
2016/08/31(水) 22:56:54.64ID:???hashはsession_idを元にするのではなく乱数で行う
それを$_SESSIONに格納し次のページでhiddenで送られてきたのと比較する
でしょ?
0397nobodyさん
2016/08/31(水) 23:09:48.07ID:???これに拘ってるのがこっちの板を荒らして潰した張本人な
0398nobodyさん
2016/09/01(木) 00:25:53.26ID:???hiddenで送ったら意味ない
それはそれでやってるんだって
話の元がsessionだからそうしてるだけでしょ(たぶん)
塩かけてからのほうがいいが論点今そこじゃないから
0400nobodyさん
2016/09/01(木) 00:31:41.42ID:???サーバの$_SESSIONが改ざんできるわけじゃないのに?
0402nobodyさん
2016/09/01(木) 06:47:35.91ID:???hidden意味ないも意味がわからない。
0403nobodyさん
2016/09/01(木) 10:30:14.42ID:???> hashはsession_idを元にするのではなく乱数で行う
それでもいいけど、そうやったって何かが改善されるわけではない。
0404nobodyさん
2016/09/01(木) 13:11:08.43ID:???0406nobodyさん
2016/09/01(木) 14:05:18.88ID:???そんな当たり前のことを言ってどうする
0408nobodyさん
2016/09/01(木) 14:18:24.12ID:???セッション発行はログイン後に(再度)行い
セッションを漏らさない実装をするということだ
0409nobodyさん
2016/09/01(木) 14:30:29.41ID:???推測しやすいから問題なわけで
0411nobodyさん
2016/09/01(木) 14:34:26.81ID:???0413nobodyさん
2016/09/01(木) 15:35:42.87ID:???>難しい質問や話題をしなければいけないわけではありません。
>PHPマニュアルの読み方を概ね理解していて、関数リファレンスが正しく読める方用のスレです。
PHPマニュアルの読み方なんて始めて1ヶ月もあれば余裕だからな
0414nobodyさん
2016/09/01(木) 17:33:57.42ID:???とでも思ってるのか
0415nobodyさん
2016/09/01(木) 19:19:40.41ID:???でなくてsessionを使った場合その最後の処理をどうするか
なんだけど・・・
>>411
その割りにいろいろもめてるようだけど・・・
>>410
hashがなぜ無駄と?
0416nobodyさん
2016/09/01(木) 20:09:49.81ID:???それがセッションハイジャック防止するための正しい実装
ログイン前にセッション開始してもいいが
その場合ログイン時にセッションを破棄して新しいセッションを開始する
もしくはセッションIDとは別のトークンを使う
0419nobodyさん
2016/09/02(金) 11:24:44.26ID:???0420nobodyさん
2016/09/02(金) 13:34:06.91ID:???おい、ここは素人スレじゃないと何度も言ってるだろう。
その意味が分からない時点で、おまえはダメグラマだ。
0425nobodyさん
2016/09/02(金) 15:08:13.86ID:???0426nobodyさん
2016/09/02(金) 15:21:29.35ID:???0427nobodyさん
2016/09/02(金) 15:33:31.00ID:???使うなら「罵倒」の意味くらい調べてくればいいのに。
>>425
悪かないね妻の肌って言ったらぶっ飛ばすところだった。
0428nobodyさん
2016/09/02(金) 15:44:12.87ID:???PHPに限った話題でもあるまいし
毎度よく伸びるわ
0429nobodyさん
2016/09/02(金) 15:50:12.74ID:???セキュリティ意識が他よりどうしても高くなるからだろ
他のスレじゃこんな話題流行りもしない
0431nobodyさん
2016/09/02(金) 15:53:13.95ID:???0432nobodyさん
2016/09/02(金) 15:57:49.61ID:???0433nobodyさん
2016/09/02(金) 16:03:14.89ID:???0434nobodyさん
2016/09/02(金) 16:05:13.94ID:???A 昨日寒かったね
B 昨日の御飯は蟹玉だったよ
A 今日は暖かいわー
B 今日は何食べようか?
A そろそろ衣替えかな
B そろそろお昼休み終わっちゃうね
0436nobodyさん
2016/09/02(金) 23:09:20.06ID:???別に意味無くもないし無駄とも思えないが
してない人は代わりに何してるのだ?
0437nobodyさん
2016/09/02(金) 23:21:34.87ID:???0438nobodyさん
2016/09/03(土) 00:03:14.33ID:???何もわからないでただ使うよりは、ちゃんと知っておいたほうがいいけどな。
アマならともかく、業務経験ある連中がXSSってなんですか〜?とか聞き出す時代だからな。
0440nobodyさん
2016/09/03(土) 11:22:44.78ID:???それで意味分かんなかったら無能な事に変わりはないからいいんじゃね?
ダサかろうが、なかろうが、どっちでも。
0442nobodyさん
2016/09/03(土) 22:30:48.98ID:???salt加えるでいいんじゃね
何言ってんのコイツ?ていう感じよりも隠語と認識されて読み飛ばされるぞ
0443nobodyさん
2016/09/03(土) 23:42:02.88ID:???それでわからん人にそれ以上説明いらんし(ここでは)
0444nobodyさん
2016/09/03(土) 23:47:19.08ID:???0445nobodyさん
2016/09/04(日) 13:29:44.67ID:???どうしてもオナニーであったと思いたい奴がいるけど、
意味分からなかったのかな?
0446nobodyさん
2016/09/04(日) 14:42:20.84ID:???0447nobodyさん
2016/09/04(日) 14:53:58.57ID:???0448nobodyさん
2016/09/04(日) 18:29:06.18ID:???0449nobodyさん
2016/09/04(日) 18:59:45.74ID:???hashがなぜ無駄?パスワードではないから?
0451nobodyさん
2016/09/04(日) 19:37:11.04ID:???0452nobodyさん
2016/09/04(日) 19:44:04.18ID:???こっから説明しなきゃいけない>>449が可哀想だけど、
俺、めんどくさいから傍観するね。
ほんとここ、素人お断りスレかよ?
0453nobodyさん
2016/09/04(日) 20:23:35.03ID:???0455nobodyさん
2016/09/04(日) 20:36:59.90ID:???>問い合わせページからのみ問い合わせを受け付けたい場合
でいいのか?
0456nobodyさん
2016/09/04(日) 20:46:15.84ID:???俺が来ると、お前ちゃんが霞んで発言権なくなっちゃうもんねw
やだー、かわいいーw 初心者が他人の事初心者呼ばわりしてるのーw
■ このスレッドは過去ログ倉庫に格納されています