Q&A
何が正解かは要件に基づいて設計されたとおりの実装になってるかどうかであって、
コードだけ見て他人がとやかく言えるもんではないです。
まずは「自分が決めた仕様通りに動いてるか」だけ確認してください。
※もちろん理解せずにツギハギだけで作りたいものが作れるようにはなりません
phpのログイン認証のコードをネットを見てつぎはぎで作りました。ここで問題なのがこのコードは果たして正解なのだろうかと言う疑問です。周りに添削してくれるような人はいません。何か間違いがあれば指摘していただければ幸いです。現在コードはエラーなく動いていますがたまたまかもしれません。javascriptからnameとpassを送信してphpをよんでいます。phpからmysqlを走査して該当者がいれば1をいなければ0をエラーがあればeをechoで送信しています。
php
1<?php 2try { 3 $received_data = json_decode(file_get_contents("php://input")); 4 $name = $received_data -> name; 5 $pass = $received_data -> pass; 6 if( v_aznum($name) || v_aznum($pass) ){ 7 echo 2; 8 return; 9 } 10 11 $dsn = 'データベース名'; 12 $user = 'ユーザ名'; 13 $pw = 'パスワード'; 14 15 $sql = 'SELECT * FROM test WHERE name = :name'; 16 $dbh = new PDO($dsn, $user, $pw); 17 $dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 18 $sth = $dbh->prepare($sql); 19 $sth->bindParam( ':name', $name, PDO::PARAM_STR); 20 $sth->execute(); 21 22 $result = $sth->fetch(PDO::FETCH_ASSOC); 23 if(password_verify($pass, $result['pass'])){ 24 echo 1; 25 }else{ 26 echo 0; 27 } 28}catch(PDOException $e){ 29 echo "e"; 30} 31 32function v_aznum($data) { 33 if(!isset($data))return true; 34 if (preg_match("/^[a-zA-Z0-9]+$/",$data)) { 35 return false; 36 }else{ 37 return true; 38 } 39}
「php://input」を相手にするとwebからのフォーム入力は使わないの?
ybhQSpYbitSKさん、大変申し訳ないのですが質問の意味が分かりません。
「php://input」を相手にするとはどういうことでしょうか?
nameもpassもフォームの入力です。
あぁ、フォーム送信じゃなく、jsonデータがPOSTされてるのを、直接 php://input から受け取るわけね、今わかった。フォームで入力させたものを、JSで加工してjsonとしてPOSTする前提のコードになってるよと。もしもwebフォーム送信を使うなら、ふつうに $_POST を使うなり filter_input() 使うなりするだろうね。
回答1件
0
ベストアンサー
すみません、回答の要件がまちがっていたので一旦保留します
一旦DBはおいておきましょう
name=xxx、pass=yyyだったときuser=zzzが有効になるという流れで
PHP
1<?PHP 2session_start(); 3$user=$_SESSION["user"]??null; 4$n="xxx"; 5$p="yyy"; 6$name=filter_input(INPUT_POST,"name"); 7$pass=filter_input(INPUT_POST,"pass"); 8if($name===$n and $pass===$p){ 9 $user="zzz"; 10 $_SESSION["user"]=$user; 11} 12if($user){ 13 print $user; 14}else 15print <<<eof 16<form method="post"> 17name:<input name="name"><br> 18pass:<input name="pass" type="password"><br> 19<input type="submit" value="login"><br> 20</form> 21eof;
あとはログインが必要なページで$_SESSION["user"]の値をチェックすればよいです
投稿2022/08/22 04:12
編集2022/08/22 05:02
総合スコア117674
回答ありがとうございます。
json_decode(file_get_contents("php://input")
これは参考にしたサイトでjavascript側のコードが下記のようになっていて、これを受け取るのにjson_decodeを使用していました。これは間違っていますか?
axios.post("phpファイル", {
name: that.name,
pass: that.pass,
}).then(function (response) {~}
passも利用していないというのはセッションで利用していないということでしょうか?
postまたはgetしたデータを利用してセッションに保持すればよいのは・・・という内容で調整します
ログイン処理にセッションのコードが足りないということですね。アドバイスありがとうございます。
ちなみになんですがpostされたデータを下記で取得していますが
$name=filter_input(INPUT_POST,"name");
$pass=filter_input(INPUT_POST,"pass");
json_decode(file_get_contents("php://input")だと何かまずいのでしょうか?
> 何かまずい
まずいというか、postデータは$_POSTを参照するかfilter_inputを使うのが一般的だというだけです
確かにfilter_inputのほうがjson_decodeが入らないのでコードが短くて済みますね。
参考にしたサイトはなぜjson_decodeを使用していたのでしょうか。
長々ありがとうございました。
あなたの回答
tips
プレビュー
