PHPは欠陥言語だからな
致命的な不具合の寄せ集め

するーするー

配列に入った値をサニタイズする関数をつくったのですが、

function check($data) {
if (is_array($data)) {
return array_map('datacheck', $data);
}
else {
$d = htmlspecialchars($data, ENT_QUOTES);
}
}

シェル上では、問題なく動作しているのに、
ブラウザでPOSTされた値を上記関数に入れ込むとなぜかサニタイズされません
しかし、check(check($data))のように２回上記関数に入れ込んでやるとしっかりサニタイズされます
POSTされた値だけ１回でうまくサニタイズされないのはどうしてでしょうか

サニタイズって何だよ
セキュリティの専門家に怒られるぞ
何が毒かなんて使う場所によって違う

サニタイズ言うな！

こうやって脆弱性が作られていくんだな

charsetがーとか言っちゃう人ですか
この段階でこんなことするのがそもそもおかしいけどね

ｃharsetまでいくといちいち突っ込まないけど
これはだめでしょ

半角英数字以外をすべて削除するなら
個人的にサニタイズって呼んであげてもいいよ
でも文字列長はチェックしてね

これでいけるはず。

function sanitize($data)
{
if (is_array($data)) {
return array_map('sanitize', $data);
} else {
return 'Don\'t say SANITIZE!';
}
}

補足です
どうもPOSTから受けた配列を変換用関数に入れると、配列の判定をしてはいるものの
再帰処理せず、１回目の配列判定をしたところで処理が終わってるようです
自分で変数に配列をセットした場合は、再帰処理されるのに
POSTの値が再帰処理されないのはなぜでしょう・・・

$d = $_POST['data'];
var_dump($d);

$d2 = datacheck2($d);
var_dump($d2);

$d3 = datacheck2($d2);
var_dump($d3);

上記処理をかますと、
array(2) { [0]=> string(3) "<<<" [4]=> string(2) "<<" }

array(2) { [0]=> string(12) "<<<" [4]=> string(8) "<<" }

array(2) { [0]=> string(24) "<<<" [4]=> string(16) "<<" }

となります　　なぜこうなるのでしょうか・・・
string(3) string(12) と長さは変わってるようですが

>>714
>>1

>>714
$youAreUnko = $_POST['mail'] === 'sage';

PHPでできますか？

サニタイズと言って入力値をエスケープするという考え自体が、
脆弱性を作りやすい間違った考えということが分かりました
ありがとうございました

リクエストトークンがないから

>>720
リクエストトークンがないとはどういう意味なんでしょう？
サンプルプログラムを丸写ししてキーを入力しパスなどを変えただけなんです。

マルチ？

twitterやってないからしらんけど

・投稿するAPIがあるならその仕様をちゃんと読む
・APIがないなら通信をトレースして何をしたらどうなるかを把握して専用のクライアントを作成する

結局この2つになるんじゃないの

スレチ

>>719
アクセストークンがない。

read and wrightにしてない

おなじ内容の投稿を繰り返してる。



たぶんどれか

スレチ

そういえばピンク色のイノキとかいうのどうしてんだろうな。

wright
wright
wright

学ぶ力には三つの条件があります。

第一は自分自身に対する不全感。
自分は非力で、無知で、まだまだ多くのものが欠けている。
だからこの欠如を埋めなくてはならない、という飢餓感を持つこと。

第二は、その欠如を埋めてくれる「メンター（先達）」を探し当てられる能力です。
メンターは先生でもお母さんでも、ネットの中の無名の人でもいい。
生涯にわたる師ではなく、ただある場所から別の場所に案内してくれるだけの
「渡し守」のような人でもいいのです。
自分を一歩先に連れて行ってくれる人は全て大切なメンターです。

第三が、素直な気持ち。
メンターを「教える気にさせる」力です。オープンマインドと言ってもいいし、
もっと平たく「愛嬌（あいきょう）」と言ってもいい。

「学ぶ姿勢」のある人は、何よりも素直です。
つまらない先入観を持たないから、生半可なリアリズムで好奇心を閉ざさない。
素直な人に聞かれると、こちらもつい真剣になる。知っている限りのことを、
知らないことまでも、教えてあげたいという気分になる。そういうものです。

以上、この三つの条件をまとめると、

「学びたいことがあります。教えてください。お願いします」

という文になります。これが「マジックワード」です。
これをさらっと口に出せる人はどこまでも成長することができる。
この言葉を惜しむ人は学ぶことができないのです。
学ぶ力には年齢も社会的地位も関係がありません。
>>727さんも、早く学ぶ力を身に付けてください。

phpには問題がない。悪いのは工夫しないこと。

今日も回答者のみなさま、よろしくご指導くださいませ。

>>734
HTMLソースを見てみることをお勧めする

>>735
お忙しい中、ご助言ありがとうございます！

>>736
ID

>>737
いつもご案内ありがとうございます。

>>735
たしかにHTMLソースを見るとしっかりエンティティ変換できてますね
ブラウザが変換されたものを認識して表示
２回目を通ると、２回変換されたものを１回分戻して表示しているから１回目が変換されたように
錯覚していたのですね
理解致しました、教えて頂きありがとうございました

ちなみに>>736は私じゃないです・・・

勿論

ですよねー
ありがとうございました

>>740-742
されてねーよｗ
どうやって確認したんだ

マニュアルで

オートマで

フォームの内容を送信するとき、GET か POST かにかかわらず data は ブラウザによって URL エンコードされ、PHP によって URL デコードされます。 要は、URL エンコード/デコードを自分で行う必要はなく、これらの処理は すべて自動的に行われると言うことです。

エンコと勘違いしてないか？

<?php
session_start();～
?>
<html>～</html>
としたとき、グーグルクロームで上の方に空白ができるって
なんとかならないですか？

サーバで処理したものを返すから
同じ結果ならブラウザでソースが変わるってのはない
PHPとは関係ないんじゃね

UTF-8 BOMで保存してるんじゃないの？

クロームでというのが気になるが別のブラウザでも同じならBOMか改行かそこらへんだな