質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

91.37%

  • PHP

    15134questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • HTML

    6151questions

    HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

  • セキュリティー

    363questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

PHP 安全な<input>や<textarea>の受け取り方について

解決済

回答 2

投稿 2017/11/20 21:02

  • 評価
  • クリップ 3
  • VIEW 145

gsuisk

score 58

PHPで <input type="text"> や <textarea> の受け取り方で最も良い方法はどのようなものでしょうか?

入門書を見ても統一されてなくてどれがベストなのかわかりません。

例えば以下のようなフォームがあったとします。

  <form action="accept.php" method="post">

  苗字:
  <input type="text" name="lName" size="25" maxlength="15" required>

  名前:
  <input type="text" name="fName" size="25" maxlength="15" required>

  題名:
  <input type="text" name="subject" maxlength="30" size="30">

  コメント:
  <textarea name="comment" cols="30" rows="7" maxlength="200" required></textarea>

  <input type="submit" value="送信">

</form>

これを受け取るPHPコードは以下です。(※CSRF対策はしていません)

$errors = [];

$space=[" ", " "]; //半角と全角スペース

//苗字と名前(必須)
if (($_POST["fName"]==="")||($_POST["lName"]==="")){
  $errors[] = "空です。";
}else {
  $fName = $_POST["fName"];
  $fName = mb_substr($fName, 0, 15);
  $fName = str_replace($space, "", $fName);
  $fName = trim(mb_convert_kana($fName, "s", 'UTF-8'));

  $lName = $_POST["lName"];
  $lName = mb_substr($lName, 0, 15);
  $lName = str_replace($space, "", $lName);
  $lName = trim(mb_convert_kana($lName, "s", 'UTF-8'));
}

//題名
if (isset($_POST["subject"])){
  $subject = $_POST["subject"];
  $sybject = trim(mb_convert_kana($subject, "s", 'UTF-8'));
  $subject = strip_tags($subject);
  $subject = mb_substr($subject, 0, 30);
} else {
  $subject = "";
}

//コメント(必須)
if (isset($_POST["comment"])){
  $comment = $_POST["comment"];
  $comment = trim(mb_convert_kana($comment, "s", 'UTF-8'));
  $comment = strip_tags($comment);
  $comment = mb_substr($comment, 0, 200);
} else {
  $comment = "";
  $errors[] = "空です。";
}


一応、出力のコードも記載します。

//エラーがあったとき
if (count($errors) > 0){
  foreach ($errors as $value) {
    echo $value;
  }
  exit();
}else {
  //h()はHTMLエスケープ関数
  echo h($fName);
  echo h($lName);
  echo h($subject);
  echo h($comment);
}

入力値チェックの後にやっていることはほとんど同じですが、

題名subject(必須でない)については、変数がセットされてない、又はそれがNULLであれば空文字に置き換えるという処理をしています。入力値がNULLになるときはあるのかわかりませんが...

入門書を読むと、フォーム値の受け取りで if($_POST["fName"]==="")のように空でないかチェックしていたり、issetやemptyを使っていたりします。

安全面も考慮すると、初めの入力値チェックはどのように行うのがよいのでしょうか?if else の構成はどのようにすべきですか?また必須項目でなくてもNULLはエラー対象にするべきでしょうか?

入力値チェックの後、文字数制限をしてスペースを取り除いてよい場合は上記の方法で問題ないでしょうか?

ご回答よろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • kei344

    2017/11/23 03:11

    まだ質問が「受付中」になっていますが、いったん「解決済」にされてはいかがでしょうか。また、解決されていないなら状況を質問文に追記ください。

    キャンセル

  • gsuisk

    2017/11/23 23:27

    ご指摘ありがとうございます。ご回答下さったお二人のどちらもベストアンサーにしたいところですが、先に回答下さった方をベストアンサーにさせていただきます。

    キャンセル

回答 2

checkベストアンサー

+6

filter_inputとかどうでしょう。あと、下記記事が詳しいのでお勧めです。

【$_GET, $_POSTなどを受け取る際の処理 - Qiita】
https://qiita.com/mpyw/items/2f9955db1c02eeef43ea

【PHP: filter_input - Manual】
http://php.net/manual/ja/function.filter-input.php

投稿 2017/11/20 21:05

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/11/21 22:56

    ありがとうございます。リンクの記事を読みました。filter_inputを使うのがよさそうですね。

    (1) $name = (string)filter_input(INPUT_POST, 'name'); 

    (2) $name = isset($_POST['name']) && is_string($_POST['name']) ? $_POST['name'] : '';

    が等価な処理と書いてあるのですが、ポストされた値がNULLの時、(2)では空文字を$nameに代入しているのに対して(1)ではフィルタリングに失敗してFALSEが$nameに代入される。という違いがありますよね?

    そうすると(1)ではエラーが発生し(2)はプログラムが続行されるということになりますか?

    キャンセル

  • 2017/11/21 23:25

    いいえ。echo (string)NULL; は '' が返ります。

    【PHP: 型の相互変換 - Manual】
    http://php.net/manual/ja/language.types.type-juggling.php

    【【PHP入門講座】 型変換 - Qiita】
    https://qiita.com/mpyw/items/3aac811629622f7f4d8b

    キャンセル

  • 2017/11/22 01:07

    「NULL は常に空文字列に変換されます。」とありますね。
    わかりました。ありがとうございました。

    キャンセル

+3

安全面も考慮すると、初めの入力値チェックはどのように行うのがよいのでしょうか?if else の構成はどのようにすべきですか?また必須項目でなくてもNULLはエラー対象にするべきでしょうか?

要件によるので普遍的な回答はありません。

が、個人的に参考にしているのは、以下の記事です。
$_GET, $_POSTなどを受け取る際の処理

よくまとめてくれていると思います。

各種フレームワークの入力値チェック方法も読めるようであれば、読んでみると良いと思います。

追記
kei344 さんの回答と同じだったので、追加情報です!w
IDE 使ってると、$str = $_POST['str'];みたいな記述は警告をくらう事があります。
以下を参考にしてみてください。
スーパーグローバル変数に直接アクセスしない方がいい理由

投稿 2017/11/20 21:08

編集 2017/11/20 21:41

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/11/21 23:02

    ご回答ありがとうございます。追加情報も拝見いたしました。

    入力値チェックについては以下のようにfilter_inputを利用しようと思います。
    $name = (string)filter_input(INPUT_POST, 'name');

    上に記載した文字数チェックについては問題ないと言えるでしょうか?もしよろしければアドバイス頂きたいです。

    キャンセル

  • 2017/11/21 23:39

    マルチバイトの文字数チェックは目的によるのでなんとも。。。
    スマートにやるなら、filter_input で FILTER_VALIDATE_REGEXP とかな気がします。

    キャンセル

  • 2017/11/22 01:15

    正規表現で文字数を限定するということですね。

    文字列中のスペースや前後のスペースを除去するのは目的によると思うのですが、 strip_tags()は正直必要ないですよね?入門書に書いてあったので一応使ったのですが、、、

    キャンセル

  • 2017/11/22 07:01

    subject と comment に入っているので、掲示板等で装飾を排除する目的なんだと思います。レイアウト崩れを防ぐ目的で入れて運用しているところは多いと思いますよ。

    キャンセル

  • 2017/11/22 17:43

    そういう目的で用いられるのですね。ありがとうございました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

ただいまの回答率

91.37%

関連した質問

同じタグがついた質問を見る

  • PHP

    15134questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • HTML

    6151questions

    HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

  • セキュリティー

    363questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。