Q&A
まず、「関数をCookieに保存する」とは何をイメージされているのでしょう?
次に、phpMyAdminは単体で使うツールではありませんが、データを取られる危険性とはなんのことでしょう?
さらに、コードを読むにユーザの住所等の情報を入力させるようですが、それをCookieに保存させる(=ユーザのローカル環境に保存される)ことに、なんの意味があるのでしょうか?
前提・実現したいこと
SetCookieで関数を保存したい
発生している問題・エラーメッセージ
phpで個人情報を保存するシステムを作っているのですが、phpmyadminを使うとデータが取られる危険性があると聞いたので、SetCookieで個人情報を保存することにしました。
コードはかけたのですが、エラーが表示されます。
Notice: Undefined index: name in C:\xampp\htdocs\clane\online\mypage\setting.php on line 18
該当のソースコード
ソースコード
登録ページ
php
1<html> 2<head> 3<title>個人情報登録 CLANE STAR ONLINE</title> 4<html> 5<head> 6<body bgcolor="#4169e1"> 7<link rel="stylesheet" href="./style.css"> 8<meta charset="utf-8"> 9<font size="8" color="#ff0000"> 10<p class="text_center">CLANE STAR ONLINE 11 <hr size="5"> 12 <font size="3" color="#000000"> 13<script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.7.2/jquery.min.js"></script> 14<h2>個人情報入力フォーム</h2> 15 <div>景品発送に必要な情報を記入してください。</div> 16<script type="text/javascript"> 17$(document).ready(function(){ 18 $("#lookup").click(function(){ 19 var zip1 = $.trim($('#zip1').val()); 20 var zip2 = $.trim($('#zip2').val()); 21 var zipcode = zip1 + zip2; 22 23 $.ajax({ 24 type: "post", 25 url: "api.php", 26 data: JSON.stringify(zipcode), 27 crossDomain: false, 28 dataType : "jsonp", 29 scriptCharset: 'utf-8' 30 }).done(function(data){ 31 if(data[0] == ""){ 32 alert('郵便番号が見つかりませんでした。もう一度記入しなおしてください。'); 33 } else { 34 $('#address').val(data[0] + data[1] + data[2]); 35 } 36 }).fail(function(XMLHttpRequest, textStatus, errorThrown){ 37 alert(errorThrown); 38 }); 39 }); 40}); 41</script> 42</head> 43<body> 44<form action="http://localhost/clane/online/mypage/contactsend.php" method="GET"> 45 <label for="name">1.お名前</label> 46 <div><input type="text" id="name" name="name"></div> 47 <label for="namehuri">2.ふりがな </label> 48 <div><input type="text" id="namehuri" name="namehuri"></div> 49 <label for="mail">3.メールアドレス</label> 50 <div><input type="text" id="mail" name="mail"></div> 51 <label for="birthday">4.生年月日 </label> 52 <div><input type="date" id="barthday" name="birthday" value=""></div> 53 <label for="zipcode">5.郵便番号 </label> 54 <div><input type="text" name="zip1" id="zip1" size="6">-<input type="text" name="zip2" id="zip2" size="6"> 55 <input type="button" id="lookup" value="住所を自動記入する"></div> 56 <label for="address">6.住所 </label> 57 <div><input size="50" type="text" name="address" id="address"></div> 58 <label for="tel">7.電話番号 </label> 59 <div><input type="tel" id="tel" name="tel" value=""></div> 60 <label for="prizetime">8.発送時間帯 </label> 61<div><input type="radio" id="hassouziki" name="hassouziki" value="午前">午前<input type="radio" name="hassouziki" value="午後">午後</div> 62<div><select name="hassoutime"></div> 63<option value="1">1時</option> 64<option value="3">3時</option> 65<option value="4">4時</option> 66<option value="5">5時</option> 67<option value="6">6時</option> 68<option value="7">7時</option> 69<option value="8">8時</option> 70<option value="9">9時</option> 71<option value="10">10時</option> 72<option value="11">11時</option> 73<option value="12">12時</option> 74</select></input></option> 75<div></div> 76<label for="souryou">9.送料指定 </label> 77<div><input type="radio" id="souryou" name="souryou" value="発送無料チケットを使う">送料無料チケットを使う<input type="radio" name="souryou" value="着払いで発送する">着払いで発送する</div> 78<div><input type="submit" name="確認" value="確認画面へ"></div> 79</form> 80</body> 81</html>
確認ページ
php
1<html> 2<head> 3<title>個人情報登録 CLANE STAR ONLINE</title> 4 <!--Cookie読み込み--> 5<html> 6<head> 7<link rel="stylesheet" href="./style.css"> 8<meta charset="utf-8"> 9<font size="8" color="#ff0000"> 10<p class="text_center">CLANE STAR ONLINE 11 <hr size="5"> 12 <font size="3" color="#000000"> 13 <body bgcolor="#4169e1"> 14<script type="text/javascript" src="http://ajax.googleapis.com/ajax/libs/jquery/1.7.2/jquery.min.js"></script> 15<h2>個人情報入力フォーム</h2> 16 <div>景品発送に必要な情報を確認してください。</div> 17<body> 18<form action="setting.php" method="GET"> 19 <label for="name">1.お名前 </label> 20 <div> 21 <font size="3" color="#ff0000"> 22 <?php echo $_GET["name"];?> 23 <font size="3" color="#000000"> 24 </div> 25 <label>2.ふりがな </label> 26 <div> 27 <font size="3" color="#ff0000"> 28 <?php echo $_GET["namehuri"];?> 29 <font size="3" color="#000000"> 30 </div> 31 <label>3.メールアドレス</label> 32 <div> 33 <font size="3" color="#ff0000"> 34 <?php echo $_GET["mail"];?> 35 <font size="3" color="#000000"> 36 </div> 37 <label>4.生年月日 </label> 38 <div> 39 <font size="3" color="#ff0000"> 40 <?php echo $_GET["birthday"];?> 41 <font size="3" color="#000000"> 42 </div> 43 <label>5.郵便番号 </label> 44 <div> 45 <font size="3" color="#ff0000"> 46 <?php echo $_GET["zip1"];?><?php echo "-";?><?php echo $_GET["zip2"];?> 47 <font size="3" color="#000000"> 48 </div> 49 <label>6.住所 </label> 50 <div> 51 <font size="3" color="#ff0000"> 52 <?php echo $_GET["address"];?> 53 <font size="3" color="#000000"> 54 </div> 55 <label>7.電話番号 </label> 56 <div> 57 <font size="3" color="#ff0000"> 58 <?php echo $_GET["tel"];?> 59 <font size="3" color="#000000"> 60 </div> 61 <label>8.発送時間帯 </label> 62 <div> 63 <font size="3" color="#ff0000"> 64 <?php echo $_GET["hassouziki"];?><?php echo $_GET["hassoutime"];?><?php echo "時";?> 65 </div> 66 <font size="3" color="#000000"> 67 <label>9.送料指定 </label> 68<div> 69<font size="3" color="#ff0000"> 70<?php echo $_GET["souryou"];?> 71<font size="3" color="#000000"> 72</div> 73<div><input type="submit" name="regist" value="情報を登録"/></div> 74<div><input type="submit" name="delete" value="情報を登録しない"/></div> 75</form> 76</body> 77</html>
設定完了 or 設定を終了 ページ
php
1<html> 2<head> 3<title>個人情報登録 CLANE STAR ONLINE</title> 4 <!--Cookie読み込み--> 5<html> 6<head> 7<link rel="stylesheet" href="./style.css"> 8<meta charset="utf-8"> 9<font size="8" color="#ff0000"> 10<p class="text_center">CLANE STAR ONLINE 11 <hr size="5"> 12 <font size="3" color="#000000"> 13 <body bgcolor="#4169e1"> 14<?php 15// 登録ボタンがクリックされた場合 16if(isset($_GET["regist"])) { 17 //Cookieを設定 18setcookie("name", $_GET["name"], time()+60*60*24*9999); 19echo " 個人情報を登録しました。"; 20echo "<br>"; 21echo " Cookieを使用して保存していますので、Cookieを削除しないようにお願いします。"; 22// 削除ボタンがクリックされた場合 23} else if(isset($_GET["delete"])) { 24echo " 個人情報登録を終了しました"; 25} 26?>
試したこと
"$name"にしたり'$name'などに変えてみたが、失敗しました。
送信されたものがGETされていなかったのでしょうか。
ご回答よろしくお願いします。
補足情報(FW/ツールのバージョンなど)
XAMPP
localhost
>まず、「関数をCookieに保存する」とは何をイメージされているのでしょう?
お名前を記入してもらい、確認ボタンを押される
↓
$name = 記入してもらった名前を入れる
↓
setcookie(‘name’,’$name’,time()+60*60*24*7);
↓
SetCookieで$nameを保存したいのです。
>次に、phpMyAdminは単体で使うツールではありませんが、データを取られる危険性とはなんのことでしょう?
自分でも他のページを見ながら勉強をしてみました。
ハッキングなど最悪な事態を考えてサイトを作るなら、Phpmyadminではなく「SetCookie」を使いましょう。
と書いてあったので僕はSetcookieで作ると決めました。
>さらに、コードを読むにユーザの住所等の情報を入力させるようですが、それをCookieに保存させる(=ユーザのローカル環境に保存される)ことに、なんの意味があるのでしょうか?
以前質問させて頂いた、オンラインクレーンゲームの発送ページです。
住所などをSetCookieで保存しておき、発送ボタンを押したらすぐSetCookieで保存した情報を管理者コントロールページに送信して、発送する。というシステムにしようと考えていますので、SetCookieでデータを保存する必要があります。
なるほど、発送の直前までクライアント側のCookieに保存しておき(事前に設定しておく)、発送依頼を行う瞬間にそこから読み出して管理者側で受け取るということですね。
では、実際に発送依頼があり住所などが送られてきますが、受け取ったそのデータはどうするのでしょうか。
PHPで受け取るでしょうから、テキストに保存する、SQLに保存する、などになるかと思います。
phpMyAdminはSQLの操作をかんたんにするツールなのですが、まあもしそれを避けられたいとして使わないにしても、やはり何かしらの方法でデータは保存しないといけないわけです。
ハッキングなどの最悪な事態を想定するというのなら、そもそもその時点でアウトでは?
またどこのページを読まれたのか知りませんが、phpMyAdminが即脆弱性となるわけはありませんし、もしそうだとしたらその使い手が悪いだけです。
またその代替としてCookieを、とおっしゃっていますが、phpMyAdminとCookieは全く無関係で次元の違う話なので、切り離して考えてください。
受け取ったデータは別にある管理者用ページ(control.php)に送信します。
送信されたら、発送依頼一覧を表示できるようにするつもりです。
ハッキングというよりクラッキング、、、
管理者用ページ(control.php)に送信する、って、じゃあそのデータはどうするんですか?どうやって発送依頼一覧に表示するんですか?どこにそのデータは保持するんですか?
PHPって基本的にアクセスがあったときだけ動いて、常駐するわけではないので、データを待ち受けるとか、受け取ったデータを持っておく、ということは出来ないのですが。
「ハッキングなど最悪な事態を考えてサイトを作るなら、Phpmyadminではなく「SetCookie」を使いましょう。」と書かれているサイトを見てみたいので、ぜひURLを貼ってください。
正直、oooomaruさんの知識があやふやかつ不正確であると感じます。色々とネットで調べて単語単語では拾っているけど、それぞれを理解されていないように見受けられます。
phpMyAdminが何かを知っていれば、「phpMyAdminは危ないからSetCookieを使おう」という記述を見て「なるほど」とはならないはずなのです。
解決済みにした理由が知りたい(ちゃんと理解得られた気がしないから)
ただ、このままサービス公開に踏み切っても利用者に多大な被害が及ぶのでやめてくださいね。自身もただでは済まないでしょう(脅迫などではなくお節介です)。
回答3件
0
ベストアンサー
phpmyadminを使うとデータが取られる危険性があると聞いたので
phpMyAdminはあくまでMySQL(またはMariaDB)を操作するためのツールなので、
別に使わなくてもMySQLやMariaDBは使えます。
phpMyAdminを使わなければいいだけの話です。
もちろんDBにしたからとデータがとられる危険性が消えるわけではなく、
データがとられない実装にする必要は大いにあります。
各種インジェクションの対応とかですね。
そのあたりはIPAの安全なウェブサイトの作り方や徳丸氏の著書「体系的に学ぶ 安全なWebアプリケーションの作り方」などできちんと押さえればよいでしょう。
本題ですが、やろうとしていることがよくわかりませんし、
起きている問題もずれてます(ずれているというか小さいというか)。
Notice: Undefined index: name
は配列に「name」というキーがないときに「name」で参照しようとしているだけのNoticeです。
こういうのとか。
php
1$a = ["u"=>1]; 2echo $a["d"];
確かめるべきは対象の配列をvar_dump()で出力して内容を確かめるところからですね。
PHPにおけるデバッグの基本です。
直接原因言っておくと「setting.php」でそのNoticeが出てるということでしたら、その前のページであろう「contactsend.php」にはnameというname属性値を持つ入力コントロールがないからですね。
見た感じ、registとdeleteだけ。
基本的にformタグに指定したaction先にしか情報を送信しません。
確かにGETであればクエリストリングで送信できますが、そもそも個人情報のようなものであれば尚更、URLにあらわれるGETで送信してはいけません。
ところで「SetCookieで関数を保存したい 」と書かれていますが、それを試したっぽい場所がどこにもありません。
下記だけですね。
php
1setcookie("name", $_GET["name"], time()+60*60*24*9999);
nameというキーに$_GET["name"]が保持している値をセットしてるだけです。
ちょっと意図が分かりませんし、COOKIEってそもそもブラウザの機能で確認可能ですから、普通にデータ取れます。
DBに保存して必要な情報を必要な時に必要なだけ取り出す方が危険性は少ないのではないでしょうか。
蛇足:
HTML5で削除された要素使い過ぎです。
で無理やりスペースをとるのもコードの可読性が悪すぎます。
基本的にCSSでレイアウトしましょう。
投稿2020/03/10 14:34
総合スコア80850
やりたいことだけが先行しすぎてて必要なこと全部おろそかにしてる気がしてならない。
なのに「データがとられるー」ってちょっとまだそこを考えるレベルにまで来てないと思うんだが・・・
このままサービス公開とかになったら怖いなあと思いましたが、そこまでにも色々ハードルがあるので、まあいきなり即公開ともなりそうにないですかね…。
もし今の段階で「あと一息で公開できる」とか思い込んでたら出来るフォローはもうないですね。ただ一般人に被害が及ばないのを祈るのみ。
完全個人でサービス公開出来て運用できる人って本当に限られた人だけだと思う。
phpMyAdminがなにかも知らない時点で住所やら本名やらは預けたくないですね...
(質問文からはそもそもアイデアだけが先行して実力が伴っていない感が漂う
これで損害賠償請求とかなっても誰もフォローできないですね。。
0
今回の現象自体の対処としては、確認ページ(contactsend.php?)から設定完了ページ(setting.php?)にデータが送られていません。formはありますが肝心の中身がありませんので。なのでsetting.phpで$_GET["name"]は取得できません。
ちなみに直接関係ないですが、今どきfontタグは推奨されないということと、使うにしても</font>の閉じタグが無いのはおかしいです。
CSSを使われているので、すべてそちらで指定するべきでしょう。
投稿2020/03/10 14:19
総合スコア2534
0
phpmyadminを使うとデータが取られる危険性があると聞いたので、SetCookieで個人情報を保存することにしました。
なんか少し違います。
phpMyAdminでの危険性が高いのは不正ログインです。(って聞いたことがある
また、それでSetCookieを使うのも少々意味不明です。
そもそも、phpMyAdminはDBを視覚的に操作するためのものです。
それが、SetCookieで個人情報を保存することとどうかかわってくるのでしょうか?
察しました
多分、この質問でphpMyAdminが危険だと思われた理由。
それは、それを仕入れた先の情報が古いからです。
phpMyAdminで情報が分かる->DBに平文で保存しているということです。
(あとは少数派ではあるけど一部データを平文で保存しているところはある。
(そういう見極めができないうちはすべて暗号化するのが吉
今時そんなことをしている企業はよほど頭がおかしいところ以外はないです。
ふつうは暗号化やハッシュ化、またそれに加えてソルト化なども行われて、DBを盗み見ただけではわからないようになっています。
宅ファイル便で一時期ニュースになりましたよね?あれが平文で保存した結果です。
規模は違えど、平文で保存したら悲惨な運命をたどることは確実です。
では、なぜ暗号化やハッシュ化等をするか?それは意外とDBを盗みられる可能性は大いにあり得るからです。
いろいろまだ書きたいことはありますが趣旨からそれるのでこの辺で
投稿2020/03/10 14:18
編集2020/03/10 14:34総合スコア10429
以前質問させて頂いた、オンラインクレーンゲームの発送ページにSetCookieを使用します。
住所などをSetCookieで保存しておき、発送ボタンを押したらすぐSetCookieで保存した情報を管理者コントロールペすージに送信して、発送する。というシステムにしようと考えていますので、SetCookieでデータを保存する必要があります。
確かにphpmyadminの方が使いやすいですが、SetCookieの方が出力が簡単になると思いました。
待ってください。
なぜ、phpMyAdminとSetCookieで対比がなされるのでしょうか?
phpMyAdminはデータを見るツールというよりはDBを管理するツールです。
僕はphpmyadminも良いと思いますよ。
ですが、今回はSetCookieでデータを保存して、発送の依頼をできるようにしたいのです。
理由を書きました。
「phpmyadminも良いと思いますよ」というコメントで、何も理解されていないということが理解できました…。
なんか恐ろしい。
> ハッキングなど最悪な事態を考えてサイトを作るなら、Phpmyadminではなく「SetCookie」を使いましょう。
なんかいろいろアウト
あなたの回答
tips
プレビュー
