質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.62%

  • PHP

    19777questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • HTML

    8644questions

    HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

  • MySQL

    5684questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

フォームページで画像を選択して、その画像データをmysqlへのINSERTを実行するphpファイルに渡す方法が分りません

解決済

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 1,658

tada_tadaa

score 83

お世話になっております。phpの初心者です。
htmlのフォームで画像を選択して、「送信」ボタンを押して、mysqlへのINSERTを実行する
phpファイルに、フォームで選択した画像データを渡したいのですがうまくいかずに困って
おります。

まず、画像を選択するフォームがあるhtmlファイルのソースを示します。

form_pic.html

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" lang="ja" xml:lang="ja">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<meta http-equiv="Content-Style-Type" content="text/css" />
<title></title>
</head>
<body>
<form enctype="multipart/form-data" action="insert2.php" method="POST">
<input type="hidden" name="MAX_FILE_SIZE" value="300000" />
<input type="file" name="picture"  />

<input type="submit" name="send" /><input type="reset" name="reset" />
</form>
</body>
</html>

次に、フォームで選択した画像データをわたさないで、単体で画像データをmysqlへ
INSERTするphpファイルのソースを示します。(このphpファイルを改造してフォーム
からの画像データを受け取れるようにしたいのです)

insert.php

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html lang="ja" xml:lang="ja">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<meta http-equiv="Content-Style-Type" content="text/css">
<title></title>
</head>
<body>

     <?php
     // 画像と拡張子を取得
     $img_path = 'C:/Program Files/Apache Software Foundation/Apache2.2\htdocs/img/ApacheMonitor.jpg';
     $img = file_get_contents($img_path);
     $ext = pathinfo($img_path, PATHINFO_EXTENSION);
      
     // データベースに保存
     $pdo = new PDO('mysql:host=localhost; dbname=tada', 'root', 'pass');
     $stmt = $pdo->prepare('INSERT INTO images VALUES(0, :ext, :img)');
     $stmt->bindParam(':ext', $ext);
     $stmt->bindParam(':img', $img);
     $stmt->execute();
     ?>
</body>
</html>

↑上記のinsert.phpではうまく「ApacheMonitor.jpg」がmysqlへ保存されます。
で、このinsert.phpを改造してinsert2.phpを作成しました。

insert2.php

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html lang="ja" xml:lang="ja">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<meta http-equiv="Content-Style-Type" content="text/css">
<title></title>
</head>
<body>

     <?php
     // 画像と拡張子を取得
//     $img_path = 'C:/Program Files/Apache Software Foundation/Apache2.2\htdocs/img/ApacheMonitor.jpg';
    $img_path = $_FILES['picture']['name'];
//    $img_path = $_FILES['picture']['tmp_name'];
        $img = file_get_contents($img_path);
        $ext = pathinfo($img_path, PATHINFO_EXTENSION);
      
     // データベースに保存
     $pdo = new PDO('mysql:host=localhost; dbname=tada', 'root', 'pass');
     $stmt = $pdo->prepare('INSERT INTO images VALUES(0, :ext, :img)');
     $stmt->bindParam(':ext', $ext);
     $stmt->bindParam(':img', $img);
     $stmt->execute();
     ?>

</body>
</html>

 $img_path = 'C:/Program Files/Apache Software Foundation/Apache2.2\htdocs/img/ApacheMonitor.jpg';の代わりに
$img_path = $_FILES['picture']['name'];
と記入するとform_pic.htmlで画像を選択して送信ボタンを押すとinsert2.phpを読み込ん
で次のようなエラー文が発生します。

Warning: file_get_contents(ApacheMonitor.jpg) [function.file-get-contents]: failed to open stream: No such file or directory in C:\Program Files\Apache Software Foundation\Apache2.2\htdocs\musen\insert2.php on line 15

line15は $img = file_get_contents($img_path);
の部分です。
代わりに$img_path = $_FILES['picture']['tmp_name'];
と記入しますと、画像データはmysqlへ保存されるのですが、mysqlの拡張子名の保存
部分が「jpg」ではなく、「tmp」と表示されます。ちなみにテーブルは次のsql文で作成
しました。extに拡張子名が保存されます。画像データはcontentsです。

     CREATE TABLE images (
     id int NOT NULL AUTO_INCREMENT,
     ext varchar(5),
     contents blob,
     PRIMARY KEY (id)
     ); 

何かうまい具合にinsert2.phpでフォームからの画像データの受け渡しが出来ないもの
かと悩んでおります。
どなたかアドバイスをよろしくお願いいたします。
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

check解決した方法

0

とりあえず自己解決いたしました。新たにinsert3.phpを作り以下のソースを記入いたしました。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html lang="ja" xml:lang="ja">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<meta http-equiv="Content-Style-Type" content="text/css">
<title></title>
</head>
<body>

     <?php
     // 画像と拡張子を取得

    $img_path = $_FILES['picture']['tmp_name'];
    $ext = substr(strrchr($_FILES['picture']['name'], '.'), 1);
        $img = file_get_contents($img_path);
      
     // データベースに保存
     $pdo = new PDO('mysql:host=localhost; dbname=tada', 'root', 'pass');
     $stmt = $pdo->prepare('INSERT INTO images VALUES(0, :ext, :img)');
     $stmt->bindParam(':ext', $ext);
     $stmt->bindParam(':img', $img);
     $stmt->execute();

     ?>

</body>
</html>

$img_path = $_FILES['picture']['tmp_name'];の$_FILES['picture']['tmp_name']には拡張子がtmpになってしまうという
欠点がありました。$_FILES['picture']['name']には拡張子名は保存されるけれど画像データが保存されないという欠
点がありました。そこでとりあえず、$img_path = $_FILES['picture']['tmp_name'];で$img_pathに画像データを格納しま
す(多分)。で、拡張子名は
substr(strrchr($_FILES['picture']['name'], '.'), 1);
で取得します。画像データと拡張子名がそろったのでINSERT文で保存します。
ほかにもっとよりやり方があればアドバイスをいただけるとうれしいです。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/08/14 17:51

    実行可能なファイルをアップロードされるとサーバーごとやられますよ。適当なPHP
    ファイルでも指定してアップロードしてみると確認できると思います。

    キャンセル

  • 2015/08/14 22:31

    実行可能なファイルとはどのようなファイルのことを指しているのでしょうか?
    また、サーバーごとやられるとは、どのような手法を受けたらやられるのでしょうか?

    キャンセル

  • 2015/08/14 22:37 編集

    とりあえず、phpふぁいるとか、jsファイルアップロードしてしかもそれがサーバーから閲覧できるところに上がってしまうわけでしょ?サーバー内のファイル丸ごと引き抜くことも可能ですよ。

    せめてアップロードされるファイルが、あなたの許可できるファイルに限定するなどのチェックは必要です。

    キャンセル

  • 2015/08/14 22:59

    なんとなくおっしゃりたいことが分かりました。つまり画像ファイルをアップロードする
    つもりで書いたソースですが、誰か悪意のある人間が、画像ファイルではなく、phpファ
    いるやJSファイルをアップロードしたケースを想定しておっしゃってるのですね。
    たしかにそれは考えておりませんでした。
    僕の考えうる対策としては拡張子のチェックで、jpg、gif、pngなどの画像ファイルの
    拡張子以外の拡張子(例えばphp、js)は受け付けないというのも有効な気がしますが
    いかがでしょうか。
    「php ファイル アップロード セキュリティ」で検索するといろいろ出てくるので後日
    それらも学習しておく必要がありそうだと思いました。

    キャンセル

  • 2015/08/14 23:04 編集

    そうそう。そういうことです。今のソースだとやりたい放題ですから。
    余計なお世話かもしれませんが、拡張子は簡単に詐称することが可能です。
    つまり拡張子をチェックするのではセキュリティ対策になりません。

    キャンセル

  • 2015/08/14 23:09 編集

    アドバイスをありがとうございます。この手のPHPのセキュリティに関する問題は
    初心者には少しつらいものがあります。また、拡張子は簡単に詐称することができるという
    情報も重要ですね。為になります。

    キャンセル

  • 2015/08/14 23:14

    やはり、ネットや本でセキュリティに関する技術を学ぶしかないようですね。

    キャンセル

  • 2015/08/14 23:56

    http://qiita.com/mpyw/items/939964377766a54d4682
    この辺の記事参考になるかもです。
    ソースコードを今の段階で理解するのは困難かもしれませんが、これくらい気を使わなきゃいけないんだなという温度感はわかるかもです。

    キャンセル

  • 2015/08/15 00:50

    たしかに温度感は伝わります。拡張子名の詐称が可能であれば画像ファイル以外の拡張子は
    受け付けないというのは補助的な役割にとどまりますね。
    kosukeさんの教えてもらったサイトでどのように、phpファイルやjsファイルなどをはじいているのか
    いまいちピンときませんでした。phpファイルやjsファイルは中身がテキストなので、画像データは
    バイナリなので、テキストとバイナリで区別しているのかもと思ったのですが、ソースを見ても
    それらしい記述は見当たらないように思いました。
    もし、アップロードされようとしているファイルがバイナリファイルかテキストファイルかを判別して
    バイナリファイルだけをアップロードできるようにすれば、phpファイルやjsファイルなどのアップロ
    ードは、はじくことができるのではないかと思ってしまいました。
    で、バイナリファイルがテキストファイルか調べる方法として興味深い記事をみつけました。
    http://programmer-jobs.blogspot.jp/2010/05/phpfinfofile.html
    http://web.just4fun.biz/PHP/%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%AEMIME%E3%82%BF%E3%82%A4%E3%83%97%E3%82%92%E7%A2%BA%E8%AA%8D%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95%E3%83%BBfinfo_file.html
    ↑上記の方法だと拡張子でファイルを判別しているのではなく、ファイルの中身を見てファイル
    タイプを判別しているので、画像ファイルだけをアップロードする際に有効かと思われますが
    いかがでしょうか。

    キャンセル

  • 2015/08/15 14:01 編集

    exeファイルもバイナリですよ。バイナリを許可するというのは全くダメです。

    finfo::file で判定してください。
    http://php.net/manual/ja/function.finfo-file.php

    image/jpeg ならOK
    image/gif ならOK のように許可するMIMETYPE を列挙する以外に方法はありません。

    キャンセル

  • 2015/08/15 15:37

    アドバイスありがとうごじます。
    僕もexeファイルもバイナリだよなぁ、とうっすら考えておりました。kosukeさんの上記のアドバイスではっきりいたしました。
    finfo_fileでimage/jpeg ならOK
    image/gif ならOK とする方針でやっていこうと思います。まだほかにもセキュリティホールのよう
    なものがあるかもしれませんが、とりあえず教えていただいた手法は用いてみようと思います。

    キャンセル

  • 2015/08/15 15:44

    セキュリティに関してはきりがないんですけど、今回のような考え方は「ホワイトリスト」で、安全なものを「許可」するという考え方です。これに対して、「安全ではない」ものを「拒否」するのは「ブラックリスト」。可能な限り、「ホワイトリスト」で実装できないかと考えるのが正攻法です。

    キャンセル

  • 2015/08/15 17:05

    「ホワイトリスト」で実装していくのが正攻法なんですね。勉強になります。
    やはりセキュリティに関してはきりがないんですね。オープンソースでいろいろOSやソフトウェア
    が公開されているようですが、プログラミングに熟達した人間が見れば、セキュリティの穴が見えて
    くるんでしょうね。僕もセキュリティの穴が見えるくらいになりたいものです。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.62%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • PHP

    19777questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • HTML

    8644questions

    HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

  • MySQL

    5684questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

  • トップ
  • PHPに関する質問
  • フォームページで画像を選択して、その画像データをmysqlへのINSERTを実行するphpファイルに渡す方法が分りません