のくす牧場
コンテンツ
牧場内検索
カウンタ
総計:126,339,338人
昨日:no data人
今日:
最近の注目
人気の最安値情報

    私的良スレ書庫

    不明な単語は2ch用語を / 要望・削除依頼は掲示板へ。不適切な画像報告もこちらへどうぞ。 / 管理情報はtwitter
    ログインするとレス評価できます。 登録ユーザには一部の画像が表示されますので、問題のある画像や記述を含むレスに「禁」ボタンを押してください。

    元スレ【PHP】下らねぇ質問はID出して書き込みやがれ 86

    php スレッド一覧へ / php とは? / 携帯版 / dat(gz)で取得 / トップメニュー
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。
    レスフィルター : (試験中)
    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitter
    102 : nobodyさん - 2009/08/03(月) 16:31:33 ID:8ObdthvW (-13,+29,-14)
    >>89-91
    三項演算子も読めないプログラマーって使えないよね。
    103 : nobodyさん - 2009/08/03(月) 16:58:12 ID:??? (+57,+29,-8)
    変数展開をCPUの仕事だと思ってる日曜プログラマーって使えないよね
    104 : nobodyさん - 2009/08/03(月) 17:04:10 ID:??? (+57,+29,-15)
    よくわからんが、寝ぼけて文中に変数名入れちゃわないように
    スタティックな文字列はシングルクォートにするようにしてる。
    105 : nobodyさん - 2009/08/03(月) 17:07:06 ID:??? (+57,+29,-114)
    ifとcaseと三項演算子の中からいちばん可読性の高いものを自然に選べるのがよいプログラマ?
    ifとcaseと三項演算子の中からいちばん処理速度の速いものを自然に選べるのがよいプログラマ?
    106 : nobodyさん - 2009/08/03(月) 17:11:54 ID:??? (+64,+29,-27)
    そのレベルなら可読性でしょ。

    数100万単位のデータ処理なら、設計の自由度と判りやすさで
    RMDBSを選ぶか、またはシーケンシャルアクセスを使って独自
    の高速データ処理ができる方法を選ぶかって考えなきゃいけないけど。
    107 : nobodyさん - 2009/08/03(月) 17:12:18 ID:??? (+57,+29,-37)
    コーディング規約を守れるのがよいプログラマ
    108 : nobodyさん - 2009/08/03(月) 17:13:11 ID:??? (+55,+27,-40)
    仕様書やコーディング規約通りにかけるのがよいプログラマ。
    109 : nobodyさん - 2009/08/03(月) 17:14:52 ID:??? (+10,-29,+2)
    >>106
    >RMDBS
    110 : nobodyさん - 2009/08/03(月) 17:17:52 ID:??? (+41,-22,+2)
    >>109
    いいじゃないかよぉ、Typoくらいよぉ(><)
    111 : nobodyさん - 2009/08/03(月) 17:18:23 ID:??? (-1,-29,-20)
    TypoでRDBMSをRMDBSは無いわ・・・
    112 : nobodyさん - 2009/08/03(月) 17:18:38 ID:??? (+63,+29,-13)
    >>110
    間違ったんだろ?知識なんてカケラも無いんだろ?素直になれよ?
    113 : 96 - 2009/08/03(月) 17:29:19 ID:??? (+0,-29,+0)
    >>100
    quota制限でビンゴでした。
    ありがとうございました。
    114 : nobodyさん - 2009/08/03(月) 19:48:59 ID:??? (-1,-29,-10)
    eclipseってなんで160MBもあるん
    115 : nobodyさん - 2009/08/03(月) 22:34:31 ID:??? (+0,-29,-31)
    >>64
    C++でいったんnewした
    クラスをdeleteしないと、なにがどうなるの?
    116 : nobodyさん - 2009/08/04(火) 09:46:49 ID:2TKWOoA9 (+6,-30,-218)
    質問です。
    http://www.livein-tokyo.com/search3.php
    で"市町村id={$val}" の一致したデータを出す場合
    $query = "select * from 物件表 where";
    foreach ($_POST['town_cd'] as $key => $val) {
     if ($key == 0) {
      $query .= " 市町村id={$val}";
      データを出すsql文
      continue;
     }
     $query .= " or 市町村id={$val}";
    }
    foreach ($_POST['town_cd'] as $key => $val) {
     if ($key == 1) {
      $query .= " 市町村id={$val}";
      データを出すsql文
      continue;
     }
     $query .= " or 市町村id={$val}";
    }
    でOK?

    117 : nobodyさん - 2009/08/04(火) 09:51:16 ID:??? (-1,-29,-7)
    $_POST['town_cd']は配列?
    119 : nobodyさん - 2009/08/04(火) 10:06:50 ID:??? (+22,-30,-61)
    >>118
    環境作って実際に動作させてみた?

    ・上のforeachと下のforeachはそれぞれ何がしたいの?
    ・foreach内の$keyが0か1かで判断していいの?
    ・$_POST['town_cd']が無い場合(全件取得の場合?)に
     $queryは "select * from 物件表 where"になるけどそのまま実行したらエラーになるよね?
    120 : nobodyさん - 2009/08/04(火) 10:07:26 ID:??? (-6,-30,-188)
    >>116
    手出すのは早すぎなんじゃない?もっとちゃんと基礎から勉強してきたほうがいいよ。

    $query = "select * from 物件表 where";
    foreach ($_POST['town_cd'] as $key => $val) {
     if ($key == 0) {
      $query .= " 市町村id={$val}";
      continue;
     }
     $query .= " or 市町村id={$val}";
    }

    この時点で$queryはOR検索で全てのデータを問い合わせる文になってるんだからこれ以上の処理はいらない。
    あとはこのクエリを投げて返ってきた結果(オブジェクト・配列・ハッシュ等)を元にHTMLを仕上げればいいだけ。
    121 : 119 - 2009/08/04(火) 10:18:45 ID:??? (+3,-30,-116)
    $keyってもしかしてwhereの直後の条件(orがいらない)かどうかの判断で使ってる?
    それなら、ベースとなるSQLを「select * from 物件表 where 1」と「where 1」とするのが定石。
    これなら$_POST['town_cd'] が空(全件の場合)もエラーにならない。
    つまりこんな感じか

    $query = "select * from 物件表 where 1";
    foreach ($_POST['town_cd'] as $key => $val) {
     $query .= " or 市町村id={$val}";
    }
    122 : nobodyさん - 2009/08/04(火) 10:34:46 ID:??? (+14,-29,-18)
    空の場合はSQLException出さない?
    123 : 119 - 2009/08/04(火) 10:48:29 ID:??? (+3,-30,-62)
    >>122
    俺に言ってる?
    SQLExceptionはでないと思うよ「select * from 物件表 where 1」を実行すればわかる

    上の書き方だと、$_POST['town_cd']が空だったらforeachでWarningはでるけど。
    124 : nobodyさん - 2009/08/04(火) 10:50:13 ID:??? (+68,+6,-5)
    普通は例外キャッチして検索条件入れてくださいってechoするよね
    125 : 122 - 2009/08/04(火) 10:52:21 ID:??? (+57,+29,-3)
    ああ・・・Javaと混ざってた。スルーしてちょうだい。
    126 : nobodyさん - 2009/08/04(火) 11:01:07 ID:??? (+60,+29,-49)
    >>124
    それは要件によると思うよ
    >>116 のような不動産サイトで各種条件(価格とか面積とか)を指定して物件を絞り込むような場合
    条件指定しなければ全件でてくる所が多い。
    127 : nobodyさん - 2009/08/04(火) 11:15:16 ID:??? (+63,+30,-80)
    いちいち全件出すような仕様にはしないんじゃない?
    転送量的にも負荷的に考えて
    もし出すにしても人気のものとか売り出したいものとか数件出す程度にする
    規模のおおきくなる商用サイトとかだとそういうかんじだとおもうけど
    動画サイトとかは典型例
    全件なら全件チェックを別途いれるんじゃないかな
    128 : nobodyさん - 2009/08/04(火) 11:18:18 ID:??? (+58,+30,-18)
    こまけえ話はいいんだよ
    とりあえず>>116は勉強不足
    実力に見合ったとこからやらないと
    いきなり飛び級してもついていけなきゃ意味がない
    かえって遠回り
    129 : nobodyさん - 2009/08/04(火) 11:18:31 ID:??? (+48,+20,-6)
    1ページ辺りの表示件数は制御するけど
    条件は全部無条件にするって意味じゃね
    130 : nobodyさん - 2009/08/04(火) 11:21:06 ID:??? (+32,-29,-1)
    >>116,120,121
    SQL Injection も指摘しておく
    131 : nobodyさん - 2009/08/04(火) 11:25:30 ID:??? (+62,+29,+0)
    >>130
    そこまで言い出すと余計混乱すると思うw
    132 : nobodyさん - 2009/08/04(火) 11:35:50 ID:??? (+57,+29,-7)
    かもしれないが,実システムでは避けては通れない道なんだから
    オミットできるものではない
    133 : nobodyさん - 2009/08/04(火) 11:58:23 ID:??? (+57,+29,-17)
    まぁSQLインジェクションなんざXSSと同じで関数1つでどうにかなる問題だけどな
    134 : nobodyさん - 2009/08/04(火) 12:01:11 ID:??? (-2,-30,-18)
    $_POST['town_cd'][0] = " '; DELETE '物件表";

    こんなデータが入ってきたらどうするんだろう
    135 : nobodyさん - 2009/08/04(火) 12:04:14 ID:??? (+57,+29,-20)
    くだ質でもそこまで考慮した回答を提示しろって事か。
    ただ、要点しぼらないと余計わからなくなるかもしれないし。

    悩み所だな。
    136 : nobodyさん - 2009/08/04(火) 12:12:43 ID:??? (+3,-30,-68)
    PHPにはmysql_real_escape_stringとかデータベース用のエスケープ関数んだから。
    インジェクションの被害は1億円超える事例もあるし(ttp://internet.watch.impress.co.jp/cda/news/2006/11/29/14076.html )
    実際にネットに公開するような使い方だしさ
    137 : nobodyさん - 2009/08/04(火) 12:34:12 ID:??? (+44,+0,-1)
    XSS 対策には引数が必要な罠
    138 : nobodyさん - 2009/08/04(火) 12:38:54 ID:??? (+38,+10,+3)
    >>137
    kwsk
    139 : nobodyさん - 2009/08/04(火) 12:41:13 ID:??? (+23,-29,-2)
    ENT_QUOTESだろ
    140 : nobodyさん - 2009/08/04(火) 12:50:09 ID:??? (+58,+28,-17)
    >>139
    付けないとどうなんの?
    141 : nobodyさん - 2009/08/04(火) 13:02:39 ID:??? (+27,-29,-5)
    >>140
    PHP: htmlspecialchars - Manual
    http://www.php.net/manual/ja/function.htmlspecialchars.php
    142 : nobodyさん - 2009/08/04(火) 13:16:50 ID:??? (+219,-30,-56)
    function escape($str){
      return stripslashes(htmlspecialchars($str,ENT_QUOTES));
    }
    $_GET = array_map("escape", $_GET);

    1つずつエスケープするのは面倒なので俺ならこうするな
    143 : nobodyさん - 2009/08/04(火) 13:31:09 ID:??? (+68,+11,-11)
    出力時にエスケープしてください
    144 : nobodyさん - 2009/08/04(火) 13:33:01 ID:??? (+36,+10,+3)
    >>141
    kwsk
    145 : nobodyさん - 2009/08/04(火) 13:46:42 ID:??? (+73,+29,-17)
    >>143
    出力時のうっかりエスケープ忘れを防げないよね。
    なので >>142 が安全。
    146 : nobodyさん - 2009/08/04(火) 14:03:59 ID:??? (+57,+29,-15)
    うっかりエスケープ忘れしてしまうような設計なら問題あり
    147 : nobodyさん - 2009/08/04(火) 14:08:48 ID:??? (+22,-29,-76)
    無条件でstripslashes、$_GET上書きに違和感を感じるが・・・

    >>145
    出力時のうっかりミスを考えるなら、その関数を入れ忘れるのも考慮しないといけないんじゃ?
    そしてそのリスクって変わらないと思うんだけど。
    スクリプト内の色々な箇所でecho出力してるわけじゃないでしょ?
    148 : nobodyさん - 2009/08/04(火) 14:12:13 ID:??? (+104,+29,-64)
    >>142 は一か所に入れておけば済むが、
    出力時のエスケープは何箇所かに及ぶため、
    人間である限りうっかりが起こる。
    失敗学的に 142 のようなのを一か所だけ、が安全。
    149 : nobodyさん - 2009/08/04(火) 14:18:26 ID:??? (+62,+29,-82)
    入力時にエスケープするのは意味あいが変わるじゃん
    エスケープした時点で受け取った入力内容と異なるデータになっちゃう
    セキュリティを考慮しても違和感のあるプログラミングは避けたほうがいいと思う
    入力時にエスケープは個人的にはないわー
    150 : 147 - 2009/08/04(火) 14:22:16 ID:??? (+80,+29,-60)
    >>148
    やっぱり設計思想というか考え方の差だね

    俺の場合は出力箇所はスクリプト内で常に1箇所にしてるのと、
    出力する変数は全て一つの表示用配列に入れ、出力時に1回 >>142 のようにエスケープすれば良いようにしてる。
    だから安全度は変わらないと思う。

    そろそろフレームワーク使えと言われそうだw
    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで / php スレッド一覧へ
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。

    類似してるかもしれないスレッド

    トップメニューへ / →のくす牧場書庫について