質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.45%

  • PHP

    24613questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • HTML

    11917questions

    HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

ページをリロードするとsubmitされている?

解決済

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 92

SugiuraY

score 210

下記のようなformを設置しているlogin.phpがあるのですが、
if($login_username==""||$login_pw=="")のようにサーバーサイドでも入力がない場合に
バリデーションをかけてエラーメッセージを吐き出すようにしています。

ここで、本ページ上に諸々の操作をした後にページを更新(リロード)すると<?php var_dump($_POST);?>の
値がリフレッシュされておらずリロード=submitのような挙動を示していることがわかりました。

本来の動作としては
if((/*リロードではなくformをsubmitした場合*/) && ($login_username==""||$login_pw==""))
と言う形で処理させたいのですが、このように動作してしまう原因と解決方法がわかりません。

調べたところ、このような記事を見つけました。
原因はブラウザ側の仕様とされているのですが詳細は載っていなく、また対処法の
if($_POST['submit']) {
/* 処理 */
header("Location: {$_SERVER['PHP_SELF']}");
exit;
}
についてもどの要素にname="submit"を設定すれば意図した動作なのかがわからず、解決に至ることができませんでした。buttonタグ等にname="submit" value="XX"等を設定しても、結局リロードがsubmitのような挙動をするので
実際にPOSTでもリロードでも$_POST['submit']は"XX"を返すので意図した動作になりません。

お力添えをお願い申し上げます。

<form id="login" class="login-form" action="xx.php" method="POST">
    <input type="hidden" name="login" value="login_catch">
    <input type="hidden" name="token2" value=<?php echo htmlspecialchars($_SESSION['token2'],ENT_QUOTES,"UTF-8")?>>
    <input type="text" name="loginname" id="login_username" class="register_text" placeholder="ユーザ名"/>
    <input type="password" name="loginpw" id="login_pass" class="register_text" placeholder="パスワード"/>
    <button form="login" class="login_button" type="submit" name="btn" value="check">ログインする</button><!--20190118-->
    <div class="login-errmsgbox">
      <?php var_dump($_POST);?>
      <?php if($login_username==""||$login_pw=="")){
     echo'<p id="er1" class="errmessage">メールアドレスとパスワードを記入して下さい</p>';
      }/*here*/?>
    </div>
    <p class="message message_wrapper" tabindex="0">無料でアカウントを作成する</p>
</form>
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

+3

リロードで再送信するのはformの仕様といっても良いです。

この多重送信(サブミット)という現象、よくあるのがセッションを利用した対策です。
「ワンタイムトークンを発行し、そのトークンと照合する」というのが概要。

下記のような記事を参考に対応してみてください。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/06/13 08:42

    コメントありがとうございます。
    朝一で調べて、設定したトークンをSESSIONとPOSTに格納し、POSTされた時とreloadされた時にそれぞれ挙動を確認しながら実装することができました。本当にとても勉強になりました。感謝いっぱいでございます。

    もし、後学のために最後にアドバイスをいただきたいのですが、
    1) 自分は調べた結果tokenの生成を以下のようにしているのですが、現代PHPにおいてこれは実務的なのでしょうか、または他の方法を採るべきでしょうか?
    $bytes = openssl_random_pseudo_bytes(16);
    $_SESSION['token']=bin2hex($bytes);
    2)想定していた、バリデーションが実装できたのですが、全て通過した場合、以下のような処理を入れようと思うのですが、$_SESSIONの特定変数の破棄と言う意味ではこれで十分かと思っているのですが、実際には$_COOKIEについても削除することが望ましいのでしょうか?あくまで本tokenに紐づくsessionidを削除する目的でという点だけにfocusした話ではありますが。たまたまそのような記事を見つけたのでケースによってかと思いますが、実務上はどのようにされているのかが気になりました。(https://www.flatflag.nir87.com/session-528#i-6
    *他のユーザー情報等をブラウザに残すために実際にはtokenのセッションだけを切り離すためにcookieを削除することはあまり現実的ではないきがするのですが、考え方自体が的外れであった場合は申し訳ございませんが、ご放念ください。

    //バリデーションの通過サーバー処理
    unset($_SESSION['token])//格納したtokenの初期化

    キャンセル

  • 2019/06/13 08:57


    「ワンタイムトークン」なので、私見ではありますが、同一セッション内で重複しない文字列が生成できれば生成方法にベストプラクティスというのはないと思います。
    色々と現場を見てきましたがネットで検索して最初に出てくるような記事をそのまま採用しているパターン、独自のロジックを採用しているパターン、様々ありました。
    今はフレームワークで標準に提供している機能を利用することが多いかなと思いますが、それも現場次第でしょう。


    $_COOKIEは内容確認してみましたか?ひとまず対象だけunsetでいいと思います。

    キャンセル

  • 2019/06/13 09:09

    本件における token の役割は「POST の一意性を確保する」ことです。一意性のみが要件です。
    多重 submit のことだけを考えるのであれば、ただの「連続した数字を配布する」ことですら実現可能です。

    ただ、「CSRF 対策の token」と兼ねているケースも多いと思います。その場合、要件としてはそちらの方に引っ張られます。
    で、そうなると、コメントの質問内容は全く別のものとなるので、質問し直したほうが良いです。

    キャンセル

  • 2019/06/13 09:11

    確かに、一意性確保だけならtime()の値だけでも良いですね。

    キャンセル

  • 2019/06/13 10:17

    mts10806様
    te2ji様
    コメントを頂きありがとうございます。図らずも自分もCSRF対策を兼ねて使用しているトークンで実装したのでなるほどなるほどというところでした。
    仰る通り、趣旨が異なってくるので、必要あらばまた別の質問として、その点はお尋ねしてみようと思います。
    いずれにしても大変勉強なりましたので、新ためて深謝を申し上げます。
    宜しくお願いいたします。

    キャンセル

  • 2019/06/13 10:19

    あ、アイコンが変わっていて気が付きませんでしたが、お茶どうぞのmts10806様でしたね。
    いつもお力添え有難うございます。

    キャンセル

  • 2019/06/13 10:20

    >お茶どうぞの
    たぶん2代くらい前のアイコンですね。
    やはりアイコンで認識されている人も多いんですね・・。
    とはいえ、諸々あって今のアイコンも切り替え検討中です。

    まあ、問題解決する際にあまり誰がどうというのは関係ないとは思いますので、
    そのあたりは内容のみで勝負したいなと(とはいかない人も中にはいるので難儀ですが)

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.45%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

  • PHP

    24613questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • HTML

    11917questions

    HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。