元スレ【PHP】下らねぇ質問はID出して書き込みやがれ 103

php覧

前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで

651 = :

保土ヶ谷区民ウゼェよ。
ID出さない奴に回答して悪いかボケ

652 = :

ID非表示派のレスには。←が付いてるのは偶然の一致なのか？
おもしれぇなこのスレｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

653 = :

おまいら何回同じ議論したら気が済むの？
ローカルルール決めたって拘束力無いんだから意味無いじゃん

654 = :

621以後の全部荒らしですから。
なんでスルーできないんですか？

655 = :

質問が来ないから、皆、暇なんだよ。

656 = :

>>655

(´・∀・｀)ﾍｰ

質問が来ないで暇になると、スレが荒れるんですか？

なんか、このスレの住民の方々って、痛いんですね。

けど、質問への答えなんか見ていると、みんな優しいですよね。

657 = :

>>656
質問ならIDを出すように。

658 = :

>>655から　この　>>658までを
自演荒らしと言います。触れないように。

662 = :

セッションcookieとトークンcookieを分ければいいだけじゃね？

664 = :

とりあえず画面遷移とセッションのリードライトの流れを書いてよ
UMLでもいいし落書きでもいい
何を問題としてるのかよーわからん

665 = :

>>664
ありがとうございます
これでわかるでしょうか？
同時に複数のウィンドウでフォームを開いて、トークンチェックしつつ（csrf対策で）
それぞれのフォームから入力された正しい値を登録させたいのです。

急いで書いたので誤字とかあるかも知れないです
確認画面でのパラメータのセッションへの格納方法は、実際は
$_SESSION['postParam']=$_POST;　です

666 = :

今思いついたんですが、トークンは固定トークンのままにして
セッションへのパラメータの格納方法を変えればいいんでしょうか？

１）入力画面でウインドウID（乱数）を用意する　<input type="hidden" name="winID" value="xxxxx" />
２）確認画面でウインドウIDをキーにして、セッションにパラメータを全部入れる
　　$_SESSION['postParam'][$_POST['winID']]=$_POST;
　　hiddenにはウインドウIDを保持する　<input type="hidden" name="winID" value="{$_POST['winID']}" />
３）if($_SESSION['token']==$_SESSION['postParam'][$_POST['winID']]['token']){//DB処理}

うーん、スレ汚しすみません。意見貰えると嬉しいです

667 = :

なんだこれは壮絶な釣りだなｗｗｗｗｗｗｗｗｗｗｗ

668 = :

やってる事はステートフルなフローだからワンタイムの方は正常でしょ
金融系の処理なんかを見ればわかるけどそう言うケースではエラー出してセッションクリア後、最初からやり直させる

後、そのケースだとトークンはcsrf対策にはならん
トークンで対応出来るのはgetで登録出来るフローのみ
ブログでこの辺を勘違いしてる人間が多すぎる
本もね

669 = :

入力フォーム
<?php
$_SESSION['token_a'] = $token;
?>
<input type="text" name="user[name]" value="">
<input type="text" name="user[code]" value="">
<input type="hidden" name="token[A]" value="<?php echo $token ?>">
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
確認フォーム
<?php
if( $_SESSION['token_a'] != $_POST['token']['a'] ){
//入力へリダイレクト
}
?>
<input type="hidden" name="user[name]" value="<?php echo $_POST['user']['name'] ?>" />
<input type="hidden" name="user[name]" value="<?php echo $_POST['user']['code'] ?>" />
<input type="hidden" name="token[A]" value="<?php echo $_POST['token']['a'] ?>">
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
登録フォーム
<?php
if( $_SESSION['token_a'] != $_POST['token']['a'] ){
//入力へリダイレクト
}
//値チェック
//登録
//登録完了
//セッション削除
?>

671 = :

あのさ、
何で入力フォームでトークンを発行してるの？
実登録は確認後なんだから意味ないと思うんだけど…

672 = :

え？なんで？？

token発行
入力画面表示
↓
token存在確認＆同一か確認
確認画面表示
↓
token存在確認＆同一か確認
↓
登録
↓
登録完了
token削除

どこがおかしいのかな？ｗｗｗ

673 = :

>>672
おかしい

画面遷移で入力→登録なフローがあるならそれでもいいが
入力→確認→登録なら確認の時にトークンを発行するのが正しい

tokenが何の為にあるのかちゃんとした知識をつけな

674 = :

おかしくねーだろ
一回登録されたら消えるんだから
確認画面をurl直接入力しても確認画面表示されないし、
完了後戻るで確認画面に行ってsubmitしてもセッションのtoken消えてるし
何が問題なんだよ？

675 = :

設計がおかしいと言ってる
tokenはmd5又はsha1を使用したとして入力→確認の遷移の度にハッシュ作成のコストと32-40byte無駄なPOSTをおくるわけ
大規模なWebサービスでそれやる人間がいたら俺は駄目な奴の烙印を押す
理由はtokenが何の為にあるのか理解せず使用しているから

676 = :

>>675
じゃあ俺はもう何年もダメな奴の烙印を押され続けてる事になるなｗｗｗｗ

677 = :

卑屈になるなよ
意味もわからず風潮のみで使用して無駄なコストを払ってるのは大手サイトでもよくある事
理由無くjsをheadで定義するサイトなんてごまんとあるしね

678 = :

ごめんなさい。もうしません。

679 = :

HTTPリクエスト全否定ですかそうですか

680 = :

まあ、HTTPも色々便利になり過ぎたから、できるものなら一度全否定するのも
いいかもね、ただ、へたすると社会が回らなくなるくらい浸透しちゃったからなあ。

681 = :

トークンって何？

682 = :

ググれ

683 = :

ビーフンは好きだぜ

684 = :

>>681
東熱で、月額定額制以外の高画質ムービー購入に
必要なポイント的なもの。
1トークン=1US$
まとめ買いで割引あり。

685 = :

トークン理解した。
それなら入力データをトークンをキーに複数
セッションに保存すればいいな

686 = :

可変なものをkeyとかもうね
プログラミングを初歩からやりなおせ

687 = :

>>685
せっかく教えてあげたのにw
東熱のシステム見ておいで。
金のやりとりがあるから、キッチリ作ってある。
エロ動画も見られて一石二鳥だよ。

688 = :

フォーム別に作れば良いだけじゃね

689 = :

たくさんの意見ありがとうございます。ほんと感謝します

>>668
＞後、そのケースだとトークンはcsrf対策にはならん
＞トークンで対応出来るのはgetで登録出来るフローのみ
これはどういうことですか？
postでの送信にトークンはcsrf対策にならないってことですか？


>>669
if( $_SESSION['token_a'] != $_POST['token']['a'] ){　の検証処理ですが、
フォームごとにトークン格納用セッションを作るわけですよね。
この処理だと同じフォームのウィンドウを複数開いた時に、
先に開いた方のフォームが確認ページで不正処理されることになりませんか？
全く別のフォームを開いた時にしか機能しないんではと。。
登録後のセッション削除処理完全に忘れてました、気付かせてくれてありがとうございます。


>>673
たしかに確認画面でのトークン生成で十分ですね。
入力画面開くたびに余分な32バイト負荷かけるなんて考えもしませんでした
ありがとうございます
673さんはどうやって「複数画面（フォーム）での平行処理＆CSRF対策」やってるんでしょうか？

690 = :

ひろみちゅの記事でも読んどけ
http://takagi-hiromitsu.jp/diary/20060409.html

691 = :

宣伝ご苦労様です

692 = :

http://www.jumperz.net/texts/csrf.htm

ほれ、いろいろ足らんだろ。

693 = :

ワンタイムトークン（笑）

694 = :

>>690,692
ありがとうございます
それ両方とも読んだんですが、例に挙がってる確認画面でのpost値の保持が
hidden形式なので（高木さん）、自分のセッションに丸ごと入れるやり方だと
まんま流用できるとこまでいかないんです。
「まんま流用しないで自分で応用しろよ」て話だと思いますが
それで考えた方法が>>666です

入力～確認～登録　のフォームでの確認画面以降からのデータの持ち回し、
みんなhiddenでやってるわけじゃないですよね。
自分みたいにセッションに入れてる人もいるはずで、その場合どうやって
「複数画面（フォーム）での平行処理＆CSRF対策」やってるんでしょうか？

ほんと長々すみません。

695 = :

だからトークんをキーにｋｖｓすればいいんだって

696 :

Yahoo知恵袋って何であんなに低レベルな回答者しか居ないのか教えてください
簡単な質問しか回答付いてるの見たこと無いです

697 = :

ヤホーで検索して聞け

698 :

http://www.bspeedtest.jp/
こういうの作る場合ってどのような技術が必要ですか？

700 = :

flashは道具であって技術とは違うだろｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで / php一覧へ

類似してるかもしれないスレッド

• 【PHP】下らねぇ質問はID出して書き込みやがれ 108 (1001) - [98%] - 2011/7/27 14:48
• 【PHP】下らねぇ質問はID出して書き込みやがれ 113 (1001) - [98%] - 2012/1/1 1:00
• 【PHP】下らねぇ質問はID出して書き込みやがれ 109 (1001) - [98%] - 2011/8/30 2:02
• 【PHP】下らねぇ質問はID出して書き込みやがれ 107 (1001) - [98%] - 2011/7/2 2:15
• 【PHP】下らねぇ質問はID出して書き込みやがれ 106 (1001) - [98%] - 2011/6/3 5:17
• 【PHP】下らねぇ質問はID出して書き込みやがれ 105 (1001) - [98%] - 2011/4/28 23:01
• 【PHP】下らねぇ質問はID出して書き込みやがれ 123 (1001) - [98%] - 2012/11/20 5:30
• 【PHP】下らねぇ質問はID出して書き込みやがれ 104 (1001) - [98%] - 2011/3/18 9:47
• 【PHP】下らねぇ質問はID出して書き込みやがれ 102 (1001) - [98%] - 2011/1/25 4:34
• 【PHP】下らねぇ質問はID出して書き込みやがれ 101 (1001) - [98%] - 2010/12/18 22:31
• 【PHP】下らねぇ質問はID出して書き込みやがれ 100 (1001) - [98%] - 2010/11/14 21:46
• 【PHP】下らねぇ質問はID出して書き込みやがれ 133 (1001) - [98%] - 2014/7/8 16:30
• 【PHP】下らねぇ質問はID出して書き込みやがれ 128 (1001) - [96%] - 2013/8/4 14:01
• 【PHP】下らねぇ質問はID出して書き込みやがれ 136 (936) - [96%] - 2014/9/18 12:45
• 【PHP】下らねぇ質問はID出して書き込みやがれ 137 (995) - [96%] - 2023/1/30 18:45
• 【PHP】下らねぇ質問はID出して書き込みやがれ 129 (1001) - [96%] - 2013/9/18 1:45
• 【PHP】下らねぇ質問はID出して書き込みやがれ 134 (1002) - [96%] - 2014/7/29 4:15