質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

91.07%

  • PHP

    17228questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

【PHP】【トークン認証】初回時(認証の2度目からは成功)に認証失敗になる問題の解決方法【初心者】

解決済

回答 3

投稿

  • 評価
  • クリップ 1
  • VIEW 128

shimane

score 77

現在プログラムの勉強をしている者です。

現在、お問い合わせフォームの作成を行っていまして
送信時に「トークン認証」を行って、不正な投稿ではないかのチェックを行っているのですが
自力で解決できない問題が発生してしまいました。

【現象】

html側に仕込んでいるトークンと
PHP側のトークンを検証して、一致していたら処理を実行、不一致ならエラーが表示というものを
ドットインストールさんや書籍・ネットで調べて試してみたのですが

初回時に限り「トークンの認証失敗」が必ず起きてしまいます。

原因を探る為にhtml側を見てみた所、
初回時に限って

<input type="hidden" name="token" value="<br />
<b>Notice</b>:  Undefined index: token in <b>


このようにトークンがありませんという風に表示されていました。

エラーで失敗になった2回目からは

              <input type="hidden" name="token" value="a05a840362109ee44b661e97326447ae">
              <input type="submit" value="送信" class="btn btn-primary">


このように表示されていまして
トークンの認証もきちんと問題なく出来ていました。

そこで、最初からhtml側にトークンを表示させていればトークンの認証失敗が起きないのでは?と考えて
色々試してみたのですが上手くいきませんでした。

下記が書いたコードです。

//PHP
// postなら処理を実行する
if($_SERVER['REQUEST_METHOD']==='POST'){

  if (!isset($_SESSION['token'])) {
    $_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(16));
  }

  if (
    !isset($_SESSION['token']) ||
    !isset($_POST['token']) ||
    $_SESSION['token'] !== $_POST['token']
  ) {
    throw new \Exception('トークンの認証に失敗しています。もう1度、お問い合わせのメッセージの送信を試してみてください。');
  } else {

    //トークン認証成功時に行う処理です。
    $otoiawasename = h($_POST['toiawase_name']);
    $otoiawaseemail = h($_POST['toiawase_email']);
    $otoiawasebody = h($_POST['toiawase_body']);

    $sql = "insert into otoiawase (name, mail, otoiawase, created) values (:name,:mail,:otoiawase,now())
    ON DUPLICATE KEY UPDATE
    created = now()
    ";
    $stmt = $db->prepare($sql);
    $stmt->execute([
      ':name' => $otoiawasename,
      ':mail' => $otoiawaseemail,
      ':otoiawase' => $otoiawasebody
    ]);
  }
  header('Location:http://test.com/abut2.php');
}

//HTML
          <form class="form-horizontal" action="" method="post" style="margin-bottom:15px;">
          <div class="form-group">
            <label class="control-label" for="email">お名前</label>
              <input type="text" name="toiawase_name" class="form-control" placeholder="お名前">
          </div>
          <div class="form-group">
            <label class="control-label" for="email">Email</label>
              <input type="email" name="toiawase_email" class="form-control" required placeholder="Email">
          </div>
          <div class="form-group">
            <label class="control-label" for="email">内容</label>
            <textarea name="toiawase_body" class="form-control"  maxlength="1000" minlength="5" required cols=40 rows=10></textarea>
          </div>
          <div class="form-group">
              <input type="hidden" name="token" value="<?php echo h($_SESSION['token']); ?>">
              <input type="submit" value="送信" class="btn btn-primary">
          </div>
        </form>

安易に初めから

$_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(16));


こちらを「POST時の条件判定」よりも前に書いて
最初から$_SESSION['token']に入れてみた所、
htmlのソースには初回時からトークンが表示されましたが、
今度はPOST時のトークン認証で不一致となりエラーが表示されてしまいました。

実行結果:

echo $_SESSION['token'];
結果:
cb9b04d3cc2549b8b5207d8fed231468

echo $_POST['token'];
結果:
aa70c6aced1c45390e625a3df47a2a9c

不一致となってしまいまいsた。

解決方法をご存知の方や
コードの間違いに気づかれた方がいらっしゃいましたら
お力をお貸し頂けると、とても嬉しいです。

どうかよろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

checkベストアンサー

+2

if($_SERVER['REQUEST_METHOD']==='POST')でない場合に、$_SESSION['token']が空のままになるのが問題です。

他に、コードの考え方に問題があるので、以下を参考に修正すると良いです。
$_GET, $_POSTなどを受け取る際の処理
「何故htmlspecialcharsを通すのか?」を一言でどうぞ

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/12/16 19:54

    あ、おそかったw

    キャンセル

  • 2017/12/16 20:13

    回答有難うございます!

    私はまだまだ初心者の中でも下っ端なので

    >if($_SERVER['REQUEST_METHOD']==='POST')でない場合に、$_SESSION['token']が空のままになるのが問題です。

    この発言をしてくださってようやく正解にたどり着く事が出来ました!

    //初回時・POSTを行う前の段階で認証用のトークンを設定しておきます。
    if($_SERVER['REQUEST_METHOD'] !=='POST'){
    $_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(16));
    }

    PHPにてこのコードを追加することで
    初回時にも認証エラーが表示されることなく正常に処理を行う事が出来ました。
    有難うございます!

    教えてくださった
    $_GET, $_POSTなどを受け取る際の処理
    「何故htmlspecialcharsを通すのか?」を一言でどうぞ
    にも目を通して勉強を進めていきたいと思います!

    まだまだプログラムの勉強を開始したばかりで頭が混乱する事が多いですが
    一生懸命頑張っていこうと思います。

    回答してくださって有難うございます。本当に助かりました!
    大感謝です!

    キャンセル

+2

 <input type="hidden" name="token" value="<?php echo h($_SESSION['token']); ?>">

 <input type="hidden" name="token" value="<?php if (isset($_SESSION['token'])) {echo h($_SESSION['token']);} ?>">

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/12/16 20:06

    回答有難うございます!

    実際に試してみた所、
    初回時にはvalue=の所が空白となっていまして
    POST時にエラーが発生しました。

    ですが、2度目からはトークンの認証が成功していました!
    先ほどの回答でもそうなのですが、
    勉強になる事が多く、とても感謝しています。有難うございます!

    キャンセル

+2

トークンのセットはGETメソッドの時に必要なのに、POSTメソッドの場合のみ処理されているので、初回は未定義になるようですね。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/12/16 20:09

    回答有難うございます!

    お恥ずかしながら勉強中の身で、GETメソッドの時の処理をどうすれば・・・と考える力がまだ足りなく
    せっかくの助言を頂きながら、私の実力不足で回答までたどり着けず申し訳ありません。

    今回は別の方にベストアンサーとなりましたが
    とっても勉強になりました。大感謝です!

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 91.07%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

  • 解決済

    [Rails]謎の空の値&Unpermitted parameter

    多対多の関係を作りたいですが、 createとupdateの時うまくいかないため、 質問をさせていただきました。 [app/controllers/admin/styli

  • 解決済

    phpで確認ページなしで問い合わせページを作りたいです。

    phpで確認ページなしでお問い合わせページを作りたいです。 入力ページ(contact.php)→送信完了ページ(send.php) 入力ページで入力エラー→入力ページ。 と

  • 解決済

    MVCでViewからControllerへのDatatableの受け渡しについて

    前提・実現したいこと MVCでアプリケーションを作成した際に自動生成されるAccountに対して、role(役割)を付加して[Authorize(Roles = "Admin,E

  • 解決済

    ログイン認証について

    ログイン認証ができません。。 $hashesをvar_dumpすると array(1) { ["08011111111"]=> string(12) "$2y$10$B

  • 解決済

    【PHP】ログイン機能の実装

    PHP初心者です。 PHPの勉強がてら、会員制のページを作成してます。 新規会員登録機能は実装できていますが、 ログイン機能の実装がうまくいきません。 やりたいことを実

  • 解決済

    ヒアドキュメント

    PHPでサイトの作成での勉強で、ログインのモーダルウインドウを表示するようにしたんですが、全ページにつけるとなると結構たいへんで、後にデザイン変更する時も大変になるのでと思い。管理

  • 解決済

    JavaScript:チェックチェックで表示・非表示

    前提・実現したいこと JavaScriptでチェックボックスで表示・非表示を実現したいのですが、上手く行きません。 フォームで使用します。 デフォルトは非表示にしていて、チェッ

  • 解決済

    Bootstrapのファイル選択のレイアウトについて

    前提・実現したいこと ファイル選択のinputタグにbootstrapが当たらないので、 https://qiita.com/nakapython/items/46d4479382

同じタグがついた質問を見る

  • PHP

    17228questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • トップ
  • PHPに関する質問
  • 【PHP】【トークン認証】初回時(認証の2度目からは成功)に認証失敗になる問題の解決方法【初心者】