私的良スレ書庫
不明な単語は2ch用語を / 要望・削除依頼は掲示板へ。不適切な画像報告もこちらへどうぞ。 / 管理情報はtwitterでログインするとレス評価できます。 登録ユーザには一部の画像が表示されますので、問題のある画像や記述を含むレスに「禁」ボタンを押してください。
元スレ【PHP】下らねぇ質問はID出して書き込みやがれ 132
php スレッド一覧へ / php とは? / 携帯版 / dat(gz)で取得 / トップメニューみんなの評価 :
レスフィルター : (試験中)
エンコードに使えそうな関数
addslashes
urlencode
rawurlencode
base64_encode
convert_uuencode
htmlspecialchars
htmlentities($str,ENT_QUOTES,'SJIS-win',false)
mb_convert_encoding( $str, 'HTML-ENTITIES', 'SJIS-win')
addslashes
urlencode
rawurlencode
base64_encode
convert_uuencode
htmlspecialchars
htmlentities($str,ENT_QUOTES,'SJIS-win',false)
mb_convert_encoding( $str, 'HTML-ENTITIES', 'SJIS-win')
私も出力時のみと思っていたのですが入れる前にするのが常識みたいに言ってきたもので、私のほうがおかしいのかと思ってしまっておりました。
エスケープする場所を移動させるだけと思っているようで、事前にエスケープすると入れる情報の長さもかわることになるので
設計部分から見直す必要性があることもわかっていないようで困っておりました。
エスケープする場所を移動させるだけと思っているようで、事前にエスケープすると入れる情報の長さもかわることになるので
設計部分から見直す必要性があることもわかっていないようで困っておりました。
>>552
そいつがプロなら殴っとけ
そいつがプロなら殴っとけ
使う用途次第で、HTMLをHTMLエンティティに変換して出力する用途が決まっていれば
データベースを別のコードでも使うときなどのために変換済みをいれておいたほうがいいことがある。
データベースを別のコードでも使うときなどのために変換済みをいれておいたほうがいいことがある。
>データベースに入れる際にhtmlspecialcharsするべきと
むしろ、こっちの理由を聞いてみたい。
その他人とやらにおいて、何か合理的な理由があるのだろうか。
むしろ、こっちの理由を聞いてみたい。
その他人とやらにおいて、何か合理的な理由があるのだろうか。
つねに、出力でhtmlspecialcharsをやるなら、ほぼHTMLだろう。
バイナリデータなどでやったらデータが破壊される。
バイナリデータなどでやったらデータが破壊される。
>>558
「つねに」やるってどこか書いてる?
「つねに」やるってどこか書いてる?
> 現在は出力時にhtmlspecialcharsでエスケープしていますが、データベースに入れる際にhtmlspecialcharsするべきと他の人から言われています。
DBに保存されるのは無加工の生のデータであるべきである
なぜならhttp経由のみで使うとは限らないからである
htmlspecialcharsを入れとけばエスケープ忘れがあっても安全という主張があるが
html出力時にDBから取り出したデータにhtmlspecialcharsを挟むという
PHPのデファクトスタンダードが通用せず第三者からみたらとても不思議で一見まずいコードに見える
このような不思議な仕様にすべきでない
なぜならhttp経由のみで使うとは限らないからである
htmlspecialcharsを入れとけばエスケープ忘れがあっても安全という主張があるが
html出力時にDBから取り出したデータにhtmlspecialcharsを挟むという
PHPのデファクトスタンダードが通用せず第三者からみたらとても不思議で一見まずいコードに見える
このような不思議な仕様にすべきでない
HTML以外が入るときのために、変換済みのほうがいいだろ。
バイナリデータに対して出力で変換したら壊れる。
バイナリデータに対して出力で変換したら壊れる。
>>563
アホなこといってんじゃないよ
バイナリデータにhtmlspecialcharsなんて使うわけないだろ
つうか画像ならGDとかに突っ込んだり
そのまま出力するにしてもヘッダで指定すんだろ
プレーンテキストとは扱いが違う
アホなこといってんじゃないよ
バイナリデータにhtmlspecialcharsなんて使うわけないだろ
つうか画像ならGDとかに突っ込んだり
そのまま出力するにしてもヘッダで指定すんだろ
プレーンテキストとは扱いが違う
DBに入れる際にhtmlspecialcharsすると、出力時にもhtmlspecialcharsをして、
二重にエスケープされる可能性があるから、まずいんだよね。
たとえば、'&' (アンパサンド) は '&' に変換される。
これをもう一度エスケープすると、 '&'になって、
'amp;'という不要な文字がブラウザに表示されてしまう。
二重にエスケープされる可能性があるから、まずいんだよね。
たとえば、'&' (アンパサンド) は '&' に変換される。
これをもう一度エスケープすると、 '&'になって、
'amp;'という不要な文字がブラウザに表示されてしまう。
出力先にあわせて、適切な処理を行うという常識を無視し
XSS等がおきた時の責任逃れをしたいっていう感覚をヒシヒシと感じる
XSS等がおきた時の責任逃れをしたいっていう感覚をヒシヒシと感じる
htmlならバイナリデータなんてDBに突っ込まないで
場所だけを記しておくよな
場所だけを記しておくよな
htmlspecialcharsは不可逆変換だしね。
< と < は、 double_encodeの設定で < < もしくは < < のどちらかになるにせよ
htmlspecialchars_decode すると < と < になってしまう。
< と < は、 double_encodeの設定で < < もしくは < < のどちらかになるにせよ
htmlspecialchars_decode すると < と < になってしまう。
何この流れw
馬鹿だなぁw
DB格納時やらバイナリデータにh()を適用ってw
特にバイナリデータにはウケたw
馬鹿だなぁw
DB格納時やらバイナリデータにh()を適用ってw
特にバイナリデータにはウケたw
DBいれる前に不可逆変換すると仕様変更や拡張、
リニューアルの時とかネックになりがちだしなー。
基本は、あくまで「渡す時に適切な処理を」だろ。
あくまで基本だけど。
ところで、なんでhtml文章を格納するのに話題で
バイナリにhtmlspecialcharsとか言い出してる馬鹿がいるの?
リニューアルの時とかネックになりがちだしなー。
基本は、あくまで「渡す時に適切な処理を」だろ。
あくまで基本だけど。
ところで、なんでhtml文章を格納するのに話題で
バイナリにhtmlspecialcharsとか言い出してる馬鹿がいるの?
データベースにHTMLとバイナリが混合していて、
それを見分ける方法などを付けていなければ
バイナリに対して加工してしまう可能性がある。
それを見分ける方法などを付けていなければ
バイナリに対して加工してしまう可能性がある。
>>572
バイナリをHTML自体、またはその一部として出力するの??
バイナリをHTML自体、またはその一部として出力するの??
自分で設計しといてimage BLOBとtext CHARの区別もつかない開発者とかねーわwww
>>577
自レス?
自レス?
俺なら出力するときだけだな。DBに入れるのは生データのほうが何かと融通が利く。
他人が設計して共同開発するようなものても
取得するデータがどのようなものかはあらかじめ把握しているのが普通
じゃなきゃアプリケーションなんて作れません
取得するデータがどのようなものかはあらかじめ把握しているのが普通
じゃなきゃアプリケーションなんて作れません
r ‐、
| ○ | r‐‐、
_,;ト - イ、 ∧l☆│∧ 良い子の諸君!
(⌒` ⌒ヽ /,、,,ト.-イ/,、 l 入力と検証と保存と出力の話が混ぜこぜになっているが
|ヽ ~~⌒γ⌒) r'⌒ `!´ `⌒) 回答する側も初心者だ
│ ヽー―'^ー-' ( ⌒γ⌒~~ /| 騙されるな。
│ 〉 |│ |`ー^ー― r' |
│ /───| | |/ | l ト、 |
| irー-、 ー ,} | / i
| / `X´ ヽ / 入 |
| ○ | r‐‐、
_,;ト - イ、 ∧l☆│∧ 良い子の諸君!
(⌒` ⌒ヽ /,、,,ト.-イ/,、 l 入力と検証と保存と出力の話が混ぜこぜになっているが
|ヽ ~~⌒γ⌒) r'⌒ `!´ `⌒) 回答する側も初心者だ
│ ヽー―'^ー-' ( ⌒γ⌒~~ /| 騙されるな。
│ 〉 |│ |`ー^ー― r' |
│ /───| | |/ | l ト、 |
| irー-、 ー ,} | / i
| / `X´ ヽ / 入 |
話がうつってるだけなのについてこれないからってクソみたいなAA貼るなカス
まあ、DBへの入力時にhtmlspecialcharsするくらいなら、
投稿入力文字列をチェックして、タグ'<>'の投稿を禁止するとか、
入力値チェックの段階で対応する方がよさそう。
投稿入力文字列をチェックして、タグ'<>'の投稿を禁止するとか、
入力値チェックの段階で対応する方がよさそう。
ぎいやぁぁぁぁぁぁぁぁぁぁぁ!
しまった!
大変な失敗をしてしまった!!
もう俺の人生終わりだァァァ!!
しまった!
大変な失敗をしてしまった!!
もう俺の人生終わりだァァァ!!
>>589
お前は始まることすらないがなw
お前は始まることすらないがなw
>>585
どこが荒らされてたの?みてみたい
どこが荒らされてたの?みてみたい
被害妄想こじらせて見えない敵と戦ってるんだからそうっとしといてやれ
PHPは誰でも使えるくらい簡単だが
作るシステムの適正に合ったコードが書ける人間は意外と多くない
作るシステムの適正に合ったコードが書ける人間は意外と多くない
表示出来たらそれ以降はブラウザの問題でしょ
拡張子によって保存出来ないとか?拡張子.pngにしてみたら
拡張子によって保存出来ないとか?拡張子.pngにしてみたら
前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ
/ 要望・削除依頼は掲示板へ / 管理情報はtwitterで / 
php スレッド一覧へ類似してるかもしれないスレッド
- 【PHP】下らねぇ質問はID出して書き込みやがれ 133 (1001) - [98%] - 2014/7/8 16:30
- 【PHP】下らねぇ質問はID出して書き込みやがれ 137 (995) - [98%] - 2023/1/30 18:45
- 【PHP】下らねぇ質問はID出して書き込みやがれ 112 (1001) - [98%] - 2011/11/29 4:02
- 【PHP】下らねぇ質問はID出して書き込みやがれ 130 (1001) - [98%] - 2013/11/11 2:45
- 【PHP】下らねぇ質問はID出して書き込みやがれ 139 (994) - [98%] - 2015/7/25 21:15
- 【PHP】下らねぇ質問はID出して書き込みやがれ 131 (1001) - [98%] - 2014/1/19 21:30
- 【PHP】下らねぇ質問はID出して書き込みやがれ 138 (991) - [98%] - 2015/1/6 8:00
- 【PHP】下らねぇ質問はID出して書き込みやがれ 136 (936) - [98%] - 2014/9/18 12:45
- 【PHP】下らねぇ質問はID出して書き込みやがれ 102 (1001) - [98%] - 2011/1/25 4:34
- 【PHP】下らねぇ質問はID出して書き込みやがれ 135 (984) - [98%] - 2014/8/7 1:00
- 【PHP】下らねぇ質問はID出して書き込みやがれ 134 (1002) - [98%] - 2014/7/29 4:15
- 【PHP】下らねぇ質問はID出して書き込みやがれ 119 (1001) - [96%] - 2012/6/21 11:46
- 【PHP】下らねぇ質問はID出して書き込みやがれ 127 (1001) - [96%] - 2013/5/26 14:01
- 【PHP】下らねぇ質問はID出して書き込みやがれ 118 (1001) - [96%] - 2012/5/18 6:01
- 【PHP】下らねぇ質問はID出して書き込みやがれ 129 (1001) - [96%] - 2013/9/18 1:45
- 【PHP】下らねぇ質問はID出して書き込みやがれ 105 (1001) - [96%] - 2011/4/28 23:01
- 【PHP】下らねぇ質問はID出して書き込みやがれ 117 (1001) - [96%] - 2012/4/23 19:01
トップメニューへ / →のくす牧場書庫について