Q&A
ockeghem様、いつもツイッターやYoutube拝見させていただき勉強させて頂いております。
自分で試してみるべきところ、わざわざコードに示していただき、恐縮の限りです。
Youtubeも拝見させていただきましたが、大変勉強になりました。有難うございます。
【やりたいこと】
ユーザーがPOSTしたarrayデータをDBに保存し、保存したデータをWEBページに表示する際、arrayデータをforeachで回したいと思っています。
【問題】
ユーザーがPOSTしたarrayデータは、そのままではDBに保存できなかったので、serializeしてからDBに保存しました。
そして、そのデータをWEBページに表示する際、arrayデータをforeachで回すために、unserializeを使おうと考え、以下のようなコードを考えました。
<?php $array = serializeしてからDBに保存されたarrayデータをSQL文で取得 // 上記の$arrayをunserializeする $array = unserialize($array); foreach( $array as $key => $value ){ $html .= $key.'は'.$value.'です。<br>'; } echo $html; //ページに出力 ?>
しかし、unserializeのマニュアルページ(https://www.php.net/manual/ja/function.unserialize.php)に、以下のように書かれていました。
============================
ユーザーからの入力をそのまま unserialize() に渡してはいけません。 アンシリアライズの時には、オブジェクトのインスタンス生成やオートローディングなどで コードが実行されることがあり、悪意のあるユーザーがこれを悪用するかもしれないからです。 シリアル化したデータをユーザーに渡す必要がある場合は、安全で標準的なデータ交換フォーマットである JSON などを使うようにしましょう。 json_decode() および json_encode() を利用します。
============================
私はJSONに関する知識が浅く、内容がよく理解できず、手が止まってしまいました。
つまり、上記に書いた私のコードは、危険ということでしょうか。
だとしたら、私はどのようにして「安全に」ユーザーがPOSTしたarrayデータを、その後、ページにforeachで出力すればよいのでしょうか。JSONを使用するとありますが、具体的にどのようにJSONを使えばよいかわからず、途方にくれております。
どなたか、道しるべを頂けましたら幸いです。
何卒、よろしくお願いいたします。
回答3件
0
特に問題ありません。
シリアル化は自分のコードで行って、その結果をデータベースに保管して取り出すだけなので、「シリアル化したデータをユーザーに渡す」状況ではありません。
投稿2020/05/19 10:33
総合スコア146018
0
ベストアンサー
ほぼ解決されたようですが、json_encode / json_decodeについては以下のサンプルを動かしてみたら分かると思います。
PHP
1<?php 2 $a = ['abc', 5, 6.5]; 3 $json = json_encode($a); 4 5 echo "json=$json\n"; 6 7 $b = json_decode($json, true); 8 var_dump($b);
実行結果は以下となります。
json=["abc",5,6.5] array(3) { [0]=> string(3) "abc" [1]=> int(5) [2]=> float(6.5) }
maisumakunさんの指摘の通り、提示された状況では危険はありませんが、serialize / unserialize は使い方によっては大変危険なので、JSONですむ応用ならJSONを使うべきだと思います。
serialize / unserialize の危険性については私の以下のYouTube動画を見ていただくのがよいと思います。
投稿2020/05/19 11:26
編集2020/05/19 11:30
総合スコア11705
0
実際にやってみたら分かるかと思いますが、
json_encode()してDBに保存して、取り出したデータをjson_decode() をすれば良いので、JSONを直接触るとか考えなきゃいけないとかはありません。
投稿2020/05/19 10:34
総合スコア80875
m.ts10806様、有難うございます。
私は何やら勘違いしていたようですね。
保存時:arrayデータをserialize()して、さらにjson_encode()をしてDBに保存。
出力時:DBのデータをunserialize()して、さらに json_decode()してから出力。
というふうに思い込んでいました。
そうではなく、
保存時:arrayデータを、serialize()は使わず、json_encode()を使用してからDBに保存。
出力時:DBのデータを、unserialize()は使わず、 json_decode()してから出力。
ということだったのでしょうか?
json_encode()および json_decode()のPHPマニュアルのページを確認し、簡単なテストコードを書いてみては如何でしょうか。
なので「実際にやってみたら分かるかと思いますが、」と前置きしています。
m.ts10806様、かしこまりました。やってみます!
有難うございます<(_ _)>
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/05/19 10:34
2020/05/19 11:19 編集
2020/05/19 11:21