のくす牧場
コンテンツ
牧場内検索
カウンタ
総計:127,062,839人
昨日:no data人
今日:
最近の注目
人気の最安値情報

    私的良スレ書庫

    不明な単語は2ch用語を / 要望・削除依頼は掲示板へ。不適切な画像報告もこちらへどうぞ。 / 管理情報はtwitter
    ログインするとレス評価できます。 登録ユーザには一部の画像が表示されますので、問題のある画像や記述を含むレスに「禁」ボタンを押してください。

    元スレ【PHP】下らねぇ質問はID出して書き込みやがれ 127

    php スレッド一覧へ / php とは? / 携帯版 / dat(gz)で取得 / トップメニュー
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。
    レスフィルター : (試験中)
    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitter
    601 : nobodyさん - 2013/04/24(水) 12:16:58.15 ID:??? (+53,+22,+0)
    >>600
    あります

    次の質問どうぞ~
    602 : nobodyさん - 2013/04/24(水) 12:36:56.42 ID:??? (+51,+16,-2)
    >>600
    PHPには その方法は無いよ
    603 : nobodyさん - 2013/04/24(水) 13:38:58.11 ID:??? (+60,-2,+0)
    あるだろw
    604 : nobodyさん - 2013/04/24(水) 18:32:03.09 ID:??? (-2,-30,-26)
    ?saitama=chichiuでsaitamaとchichiu拾うの?
    foreachで$_GETからkeyとvalue取ってくるの?
    605 : nobodyさん - 2013/04/24(水) 18:33:19.63 ID:??? (+53,+25,-13)
    ディレクトリ構造に見せかけてるだけで実際getと変わらんじゃん
    606 : nobodyさん - 2013/04/24(水) 20:26:09.16 ID:??? (+88,+21,+0)
    >>603
    PHPだけじゃ実現できないよ
    607 : nobodyさん - 2013/04/24(水) 20:53:40.70 ID:??? (+42,+24,+0)
    はいはい
    609 : nobodyさん - 2013/04/25(木) 02:32:52.82 ID:??? (+58,+30,+0)
    >>608
    http://stackoverflow.com/questions/7751679/php-http-build-url-and-pecl-install
    610 : nobodyさん - 2013/04/25(木) 10:16:17.52 ID:??? (+69,+29,-11)
    >>606
    httpdが必要って言いたいのか。
    こじつけもいい加減に・・・
    614 : nobodyさん - 2013/04/25(木) 14:17:01.66 ID:0FNu+M2T (+33,+25,-4)
    >>603
    http://example.com/hoge.php/saitama/chichiu
    ならできるけど、
    http://example.com/hoge/saitama/chichiu
    ってできる?
    615 : nobodyさん - 2013/04/25(木) 14:37:11.67 ID:??? (+36,-29,-45)
    >>614
    サーバーにディレクティブ渡せば楽勝でしょ。
    WordPressやCakePHPのURLの仕組みを調べてみれば?
    616 : nobodyさん - 2013/04/25(木) 15:04:32.09 ID:??? (-2,-30,-38)
    いくらでもやり方はあるけど、
    .htaccess に、特定のファイル名の時はapplication/x-httpd-phpを追加する
    とかが一般的かな
    617 : nobodyさん - 2013/04/25(木) 15:31:26.40 ID:??? (+51,+28,-13)
    PHPオンリーでって話じゃないのか
    618 : nobodyさん - 2013/04/25(木) 16:37:07.19 ID:??? (+39,+11,-7)
    PHPのビルトインウェブサーバで実行できなきゃだね
    619 : nobodyさん - 2013/04/25(木) 16:42:52.06 ID:??? (+52,+29,+0)
    質問者いなくなっちゃったのか
    620 : nobodyさん - 2013/04/25(木) 19:16:06.66 ID:??? (+57,+29,-29)
    俺はくだらない質問をする
    お前たちは答えてろ
    621 : nobodyさん - 2013/04/25(木) 19:32:36.30 ID:??? (+52,+29,-2)
    俺はただ見物して楽しむ♪
    622 : nobodyさん - 2013/04/25(木) 21:49:42.17 ID:??? (+62,+29,-37)
    >>615
    楽勝には同意するけど
    > サーバーにディレクティブ渡せば楽勝でしょ。
    用語を勉強しなおしましょうね
    624 : nobodyさん - 2013/04/26(金) 08:12:40.04 ID:??? (-11,-29,-1)
    >>623
    $this->$val[0]
    625 : nobodyさん - 2013/04/26(金) 13:34:02.60 ID:wd6ISbqU (-27,-30,-145)
    【OS名】CentOS
    【PHPのバージョン】5.3
    【連携ソフトウェア】MySQL
    【質問内容】
    DBに書き込みデータを保存する掲示板を作っているのですが
    ユーザーが書き込んだ文字列をHTMLエスケープするのはどの段階にするべきでしょうか

    勿論'や;に\をつけるのはDBに保存する前だと思いますが、
    <や>等HTMLとして影響を与える文字をエスケープするのはDBに保存する前か
    それともDBにはそのまま保存して出力する際にエスケープすべきでしょうか
    一般的な考え方があったら教えて下さい
    626 : nobodyさん - 2013/04/26(金) 13:44:14.73 ID:??? (-3,-30,-68)
    考慮するのは2点
    DBにデータを入れる際のSQLインジェクション
    そしてデータをHTMLに出力する際のクロスサイトスクリプティング

    DB操作にどのAPI使ってるのかしらんがDBに入れる際
    mysql関数ならmysql_real_escape_string
    PDOならプリペアードステートメントを使う

    DBから取り出してHTMLに出力するときにhtmlspecialcharsを使う
    627 : nobodyさん - 2013/04/26(金) 13:45:37.38 ID:??? (+45,+17,-40)
    もちろんデータをselectするとき検索など外部に入力を依存するシステムの場合は
    select文にたいしても同様にSQLインジェクション対策を行うこと
    628 : nobodyさん - 2013/04/26(金) 15:17:37.16 ID:wd6ISbqU (-24,+26,+2)
    >>626-627
    どうもありがとうございます
    629 : nobodyさん - 2013/04/26(金) 15:22:40.36 ID:??? (-1,-29,-17)
    PDO+静的プレースホルダで、DBにはそのまま保存。
    出力するときに、htmlspecialcharsを使う。

    これしかない。
    630 : nobodyさん - 2013/04/26(金) 15:27:43.27 ID:??? (-11,-29,-37)
    >>625
    有効にするタグがあるのかどうか(<a>や<strong>, <pre>などは生かすとか)によって違う。
    また、エンコードが何なのかによっても違う。
    631 : nobodyさん - 2013/04/26(金) 16:08:21.01 ID:??? (+58,+29,-69)
    >>625
    色んな所で古くから議論されてるけど、
    基本はDBに生で保存して出力時に整形する。
    いろんな検証の仕方をしても多分ここに落ち着く。

    それを踏まえた上で、パフォーマンスを高めるためのチューニングとして
    エンコード済みのデータをケースバイケースで本データとは別に保存しておいたりすると良い。
    632 : nobodyさん - 2013/04/26(金) 17:56:09.59 ID:??? (+33,-30,-233)
    >>625
    ほかの人も言っていることとほぼ同様だけど
    取り立てて仕様に影響するような要件がない場合は、DBには可能な限り生なデータを突っ込んだほうがいい。
    突っ込む前に整形するとその後の拡張性がすこぶる悪くなったりする。
    で、PHPでMySQL使っているならば、mysqli_real_escape_string関数あたり使いなはれ。
    で、出力するときは、htmlspecialcharsあたりでXSS除けしなはれ。
    ちなみにWHERE句なんかで外部からの値突っ込むときもちゃんとエスケープ処理かけるんだぞ。
    もう一つ言うと、LIMITやOFFSET句みたいな場所を除いて外部から受け取ったIntegerを突っ込むときも
    ちゃんとエスケープ処理して'つけてSQL文に流し込め。
    LIMITやOFFSETは、Integer以外入りようがないのだから、正規表現かなんかでバリデートすべし。
    633 : nobodyさん - 2013/04/26(金) 18:13:03.59 ID:??? (+94,+29,-23)
    DBに保存する前に、入力データそのものを変更するって考え方、誰が広めたんだ?
    昔はそれが普通だったのか?
    634 : nobodyさん - 2013/04/26(金) 18:14:00.99 ID:??? (+40,+17,-2)
    同じ回答を繰り返すPHP回答者△
    636 : nobodyさん - 2013/04/26(金) 18:16:10.65 ID:??? (+75,+29,-86)
    >>633
    たんに何のセキュリティ問題なのかとか具体的なことがわからなかったってだけでは?
    とりあえずエスケープにはhtmlspecialcharsを使っとけばいいって覚えちゃった人が
    自分のサイトでこういうふうにして入れますみたいに書いて
    それを間にうけた第三者が真似していくという
    637 : nobodyさん - 2013/04/26(金) 18:18:57.51 ID:??? (+91,+29,-76)
    セキュリティホールの名称はわかっても具体的な内容までは知らない人
    内容はだいたいわかるけど実際に問題になるコードが書けない人
    本当にアマでセキュリティホールを理解してるのは少ない
    638 : nobodyさん - 2013/04/26(金) 19:13:13.98 ID:??? (+62,+29,-1)
    >>632
    そういう時は、同様じゃない部分だけ書くのが大人
    639 : nobodyさん - 2013/04/26(金) 19:42:40.94 ID:??? (+55,+27,-27)
    普通のファイルに<>でカラムを分割していたから
    そのカラムの範囲を破壊されないために
    <と>をエスケープしていたんだよねwww
    640 : nobodyさん - 2013/04/26(金) 20:23:06.36 ID:??? (+121,+29,-54)
    >>637
    そうそう、そんな理解していない奴らが簡単にWebアプリもどきを作れるようにしたPHPは犯罪
    世界規模のサイバーテロに匹敵するほどの犯罪

    犯罪者予備軍のPHP厨にはお似合いかw
    641 : nobodyさん - 2013/04/26(金) 22:33:10.72 ID:zqV1AZ+p (+36,+29,-6)
    >>640
    わしのことやな、、getpost変数はほぼホワイトリスト解決させてる、、ヌルバイトだけはどう来るか予想できん。。。。
    642 : nobodyさん - 2013/04/26(金) 22:35:09.48 ID:??? (+47,+29,+0)
    失礼さげ
    643 : nobodyさん - 2013/04/27(土) 06:55:33.74 ID:??? (+74,+29,-10)
    >>640
    理解してないやつらが簡単に~
    なんてどの言語でもそうじゃないか
    644 : nobodyさん - 2013/04/27(土) 14:25:23.44 ID:RdpUkJUr (+27,+29,-23)
    それが同じなどというのは言葉遊びに過ぎない
    仮にmcintosh(詳細な綴りは知らん)とwindowsに同じ問題があったとして
    その影響が同じだなどという主張と変わらん
    645 : nobodyさん - 2013/04/27(土) 14:36:40.37 ID:??? (+57,+29,-6)
    つまり罪深さで言えばWindowsそのものが大罪を犯してるわけだ
    646 : nobodyさん - 2013/04/27(土) 14:48:32.82 ID:??? (+32,+4,-5)
    mcintoshはないだろ
    なんでmacって呼ばれてるのか考えろ!
    647 : nobodyさん - 2013/04/27(土) 14:49:44.35 ID:??? (-6,-29,-4)
    Mcdonald'sじゃないのよ!
    648 : nobodyさん - 2013/04/27(土) 19:00:06.77 ID:RdpUkJUr (+27,+29,-6)
    興味のない知らんもんは考えても正解にはたどり着かんよw
    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで / php スレッド一覧へ
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。

    類似してるかもしれないスレッド

    トップメニューへ / →のくす牧場書庫について