teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップMySQLに関する質問
MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

HTML

HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

Q&A

解決済

1回答

4266閲覧

フォームページで画像を選択して、その画像データをmysqlへのINSERTを実行するphpファイルに渡す方法が分りません

tada_tadaa
tada_tadaa

総合スコア111

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

HTML

HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

0グッド

0クリップ

投稿2015/08/14 07:11

0

0

お世話になっております。phpの初心者です。
htmlのフォームで画像を選択して、「送信」ボタンを押して、mysqlへのINSERTを実行する
phpファイルに、フォームで選択した画像データを渡したいのですがうまくいかずに困って
おります。

まず、画像を選択するフォームがあるhtmlファイルのソースを示します。

form_pic.html

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" lang="ja" xml:lang="ja"> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> <meta http-equiv="Content-Style-Type" content="text/css" /> <title></title> </head> <body> <form enctype="multipart/form-data" action="insert2.php" method="POST"> <input type="hidden" name="MAX_FILE_SIZE" value="300000" /> <input type="file" name="picture" />

<input type="submit" name="send" /><input type="reset" name="reset" />

</form> </body> </html>

次に、フォームで選択した画像データをわたさないで、単体で画像データをmysqlへ
INSERTするphpファイルのソースを示します。(このphpファイルを改造してフォーム
からの画像データを受け取れるようにしたいのです)

insert.php

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html lang="ja" xml:lang="ja"> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <meta http-equiv="Content-Style-Type" content="text/css"> <title></title> </head> <body> 
 <?php
 // 画像と拡張子を取得
 $img_path = 'C:/Program Files/Apache Software Foundation/Apache2.2\htdocs/img/ApacheMonitor.jpg';
 $img = file_get_contents($img_path);
 $ext = pathinfo($img_path, PATHINFO_EXTENSION);
  
 // データベースに保存
 $pdo = new PDO('mysql:host=localhost; dbname=tada', 'root', 'pass');
 $stmt = $pdo->prepare('INSERT INTO images VALUES(0, :ext, :img)');
 $stmt->bindParam(':ext', $ext);
 $stmt->bindParam(':img', $img);
 $stmt->execute();
 ?>
</body> </html>

↑上記のinsert.phpではうまく「ApacheMonitor.jpg」がmysqlへ保存されます。
で、このinsert.phpを改造してinsert2.phpを作成しました。

insert2.php

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html lang="ja" xml:lang="ja"> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <meta http-equiv="Content-Style-Type" content="text/css"> <title></title> </head> <body> 
 <?php
 // 画像と拡張子を取得

// $img_path = 'C:/Program Files/Apache Software Foundation/Apache2.2\htdocs/img/ApacheMonitor.jpg';
$img_path = $_FILES['picture']['name'];
// $img_path = $_FILES['picture']['tmp_name'];
$img = file_get_contents($img_path);
$ext = pathinfo($img_path, PATHINFO_EXTENSION);

 // データベースに保存
 $pdo = new PDO('mysql:host=localhost; dbname=tada', 'root', 'pass');
 $stmt = $pdo->prepare('INSERT INTO images VALUES(0, :ext, :img)');
 $stmt->bindParam(':ext', $ext);
 $stmt->bindParam(':img', $img);
 $stmt->execute();
 ?>
</body> </html>

$img_path = 'C:/Program Files/Apache Software Foundation/Apache2.2\htdocs/img/ApacheMonitor.jpg';の代わりに
$img_path = $_FILES['picture']['name'];
と記入するとform_pic.htmlで画像を選択して送信ボタンを押すとinsert2.phpを読み込ん
で次のようなエラー文が発生します。

Warning: file_get_contents(ApacheMonitor.jpg) [function.file-get-contents]: failed to open stream: No such file or directory in C:\Program Files\Apache Software Foundation\Apache2.2\htdocs\musen\insert2.php on line 15

line15は $img = file_get_contents($img_path);
の部分です。
代わりに$img_path = $_FILES['picture']['tmp_name'];
と記入しますと、画像データはmysqlへ保存されるのですが、mysqlの拡張子名の保存
部分が「jpg」ではなく、「tmp」と表示されます。ちなみにテーブルは次のsql文で作成
しました。extに拡張子名が保存されます。画像データはcontentsです。

 CREATE TABLE images (
 id int NOT NULL AUTO_INCREMENT,
 ext varchar(5),
 contents blob,
 PRIMARY KEY (id)
 );

何かうまい具合にinsert2.phpでフォームからの画像データの受け渡しが出来ないもの
かと悩んでおります。
どなたかアドバイスをよろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

自己解決

とりあえず自己解決いたしました。新たにinsert3.phpを作り以下のソースを記入いたしました。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html lang="ja" xml:lang="ja"> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <meta http-equiv="Content-Style-Type" content="text/css"> <title></title> </head> <body> 
 <?php
 // 画像と拡張子を取得

$img_path = $_FILES['picture']['tmp_name'];
$ext = substr(strrchr($_FILES['picture']['name'], '.'), 1);
    $img = file_get_contents($img_path);
  
 // データベースに保存
 $pdo = new PDO('mysql:host=localhost; dbname=tada', 'root', 'pass');
 $stmt = $pdo->prepare('INSERT INTO images VALUES(0, :ext, :img)');
 $stmt->bindParam(':ext', $ext);
 $stmt->bindParam(':img', $img);
 $stmt->execute();

 ?>
</body> </html>

$img_path = $_FILES['picture']['tmp_name'];の$_FILES['picture']['tmp_name']には拡張子がtmpになってしまうという
欠点がありました。$_FILES['picture']['name']には拡張子名は保存されるけれど画像データが保存されないという欠
点がありました。そこでとりあえず、$img_path = $_FILES['picture']['tmp_name'];で$img_pathに画像データを格納しま
す(多分)。で、拡張子名は
substr(strrchr($_FILES['picture']['name'], '.'), 1);
で取得します。画像データと拡張子名がそろったのでINSERT文で保存します。
ほかにもっとよりやり方があればアドバイスをいただけるとうれしいです。

投稿2015/08/14 08:42

編集2015/08/14 08:49
tada_tadaa
tada_tadaa

総合スコア111

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2015/08/14 08:51

実行可能なファイルをアップロードされるとサーバーごとやられますよ。適当なPHP ファイルでも指定してアップロードしてみると確認できると思います。
tada_tadaa
tada_tadaa

2015/08/14 13:31

実行可能なファイルとはどのようなファイルのことを指しているのでしょうか? また、サーバーごとやられるとは、どのような手法を受けたらやられるのでしょうか?
退会済みユーザー

退会済みユーザー

2015/08/14 13:38 編集

とりあえず、phpふぁいるとか、jsファイルアップロードしてしかもそれがサーバーから閲覧できるところに上がってしまうわけでしょ?サーバー内のファイル丸ごと引き抜くことも可能ですよ。 せめてアップロードされるファイルが、あなたの許可できるファイルに限定するなどのチェックは必要です。
tada_tadaa
tada_tadaa

2015/08/14 13:59

なんとなくおっしゃりたいことが分かりました。つまり画像ファイルをアップロードする つもりで書いたソースですが、誰か悪意のある人間が、画像ファイルではなく、phpファ いるやJSファイルをアップロードしたケースを想定しておっしゃってるのですね。 たしかにそれは考えておりませんでした。 僕の考えうる対策としては拡張子のチェックで、jpg、gif、pngなどの画像ファイルの 拡張子以外の拡張子(例えばphp、js)は受け付けないというのも有効な気がしますが いかがでしょうか。 「php ファイル アップロード セキュリティ」で検索するといろいろ出てくるので後日 それらも学習しておく必要がありそうだと思いました。
退会済みユーザー

退会済みユーザー

2015/08/14 14:06 編集

そうそう。そういうことです。今のソースだとやりたい放題ですから。 余計なお世話かもしれませんが、拡張子は簡単に詐称することが可能です。 つまり拡張子をチェックするのではセキュリティ対策になりません。
tada_tadaa
tada_tadaa

2015/08/14 14:13 編集

アドバイスをありがとうございます。この手のPHPのセキュリティに関する問題は 初心者には少しつらいものがあります。また、拡張子は簡単に詐称することができるという 情報も重要ですね。為になります。
tada_tadaa
tada_tadaa

2015/08/14 14:14

やはり、ネットや本でセキュリティに関する技術を学ぶしかないようですね。
退会済みユーザー

退会済みユーザー

2015/08/14 14:56

http://qiita.com/mpyw/items/939964377766a54d4682 この辺の記事参考になるかもです。 ソースコードを今の段階で理解するのは困難かもしれませんが、これくらい気を使わなきゃいけないんだなという温度感はわかるかもです。
tada_tadaa
tada_tadaa

2015/08/14 15:50

たしかに温度感は伝わります。拡張子名の詐称が可能であれば画像ファイル以外の拡張子は 受け付けないというのは補助的な役割にとどまりますね。 kosukeさんの教えてもらったサイトでどのように、phpファイルやjsファイルなどをはじいているのか いまいちピンときませんでした。phpファイルやjsファイルは中身がテキストなので、画像データは バイナリなので、テキストとバイナリで区別しているのかもと思ったのですが、ソースを見ても それらしい記述は見当たらないように思いました。 もし、アップロードされようとしているファイルがバイナリファイルかテキストファイルかを判別して バイナリファイルだけをアップロードできるようにすれば、phpファイルやjsファイルなどのアップロ ードは、はじくことができるのではないかと思ってしまいました。 で、バイナリファイルがテキストファイルか調べる方法として興味深い記事をみつけました。 http://programmer-jobs.blogspot.jp/2010/05/phpfinfofile.html http://web.just4fun.biz/PHP/%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%AEMIME%E3%82%BF%E3%82%A4%E3%83%97%E3%82%92%E7%A2%BA%E8%AA%8D%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95%E3%83%BBfinfo_file.html ↑上記の方法だと拡張子でファイルを判別しているのではなく、ファイルの中身を見てファイル タイプを判別しているので、画像ファイルだけをアップロードする際に有効かと思われますが いかがでしょうか。
退会済みユーザー

退会済みユーザー

2015/08/15 05:07 編集

exeファイルもバイナリですよ。バイナリを許可するというのは全くダメです。 finfo::file で判定してください。 http://php.net/manual/ja/function.finfo-file.php image/jpeg ならOK image/gif ならOK のように許可するMIMETYPE を列挙する以外に方法はありません。
tada_tadaa
tada_tadaa

2015/08/15 06:37

アドバイスありがとうごじます。 僕もexeファイルもバイナリだよなぁ、とうっすら考えておりました。kosukeさんの上記のアドバイスではっきりいたしました。 finfo_fileでimage/jpeg ならOK image/gif ならOK とする方針でやっていこうと思います。まだほかにもセキュリティホールのよう なものがあるかもしれませんが、とりあえず教えていただいた手法は用いてみようと思います。
退会済みユーザー

退会済みユーザー

2015/08/15 06:44

セキュリティに関してはきりがないんですけど、今回のような考え方は「ホワイトリスト」で、安全なものを「許可」するという考え方です。これに対して、「安全ではない」ものを「拒否」するのは「ブラックリスト」。可能な限り、「ホワイトリスト」で実装できないかと考えるのが正攻法です。
tada_tadaa
tada_tadaa

2015/08/15 08:05

「ホワイトリスト」で実装していくのが正攻法なんですね。勉強になります。 やはりセキュリティに関してはきりがないんですね。オープンソースでいろいろOSやソフトウェア が公開されているようですが、プログラミングに熟達した人間が見れば、セキュリティの穴が見えて くるんでしょうね。僕もセキュリティの穴が見えるくらいになりたいものです。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップMySQLに関する質問

フォームページで画像を選択して、その画像データをmysqlへのINSERTを実行するphpファイルに渡す方法が分りません