Q&A
どのような「危険」を想定していますか?
filter_inputに文字列はないのでしょうか?
現状で'a'か'b'の値をPOSTで得て、次のようにしています
php
1$alphabet = isset($_POST['alphabet']) ? $_POST['alphabet'] : false; 2if ( $alphabet !== 'a' && $alphabet !== 'b' ) { 3 die('alphabetが不正です'); 4} else { 5 // $alphabetを使ってデータベースから値を取得する処理をここに書く 6}
これでは危険らしくfilter_inputを使うべきと知りまして、マニュアルを見るといくつかオプションがあったのですが、
マニュアル
https://www.php.net/manual/ja/filter.filters.validate.php
上記マニュアルのどこにも文字列のバリデーションがありません。
数値ならFILTER_VALIDATE_INTだったりメールならFILTER_VALIDATE_EMAILだったりとあるのに、文字列の場合はどうしたらよろしいでしょうか?
どんな危険があるとか知らないレベルです…
ほとんどのセキュリティ対策は、想定される特定の危険と対応するものですので、想定がなければ考えることはできません。
えっと、'a'|'b' のみ許可としたいのですが、危険を想定しなければなりませんか?
例えば家に鍵をつけるとき「鍵を持つものだけ許可」と思うのが通常で、「泥棒が入るかもしれない、近所の子供が勝手に入るかもしれないetc」などは想定しないと思いますが、この考えはプログラミングにおいては間違っているのでしょうか?
> 危険を想定しなければなりませんか?
「これでは危険らしく」と書いたのはuchiwaさん自身ですよね?
えっと、そうですけど…
普通家に鍵をつけるとき「この近所は危険らしいから鍵をつけておいた方がいい」って思いませんか?
そこで鍵屋さんに行ったら「どんな危険があるか想定してこい」と言われましても、「とりあえず鍵かけたいんですけど」ってなると思うのですが…
何がおかしいのかわからないです。
> 何がおかしいのかわからないです。
玄関の鍵は、「家に不適切に侵入される」という1種類の脅威への対策だということが明らかですが、コンピューターセキュリティ上の脅威は何通りも考えうるものです。
ある条件では「必要な機能」が、別な条件では「対策しなければならない脅威」となることすらありえます。
> どのような「危険」を想定していますか?
これ、ちゃんと意識した方が良いですよ。
参考:https://teratail.com/questions/63786
えっと、コンピューターセキュリティ上の脅威ですか…全然わからないですね…
te2jiさんリンクありがとうございます。参考にさせていただきます。
回答4件
0
送られる情報自体が全て基本的に文字列で、その中の形式をチェックするものなので「文字列かどうか」というものはないです。
emailだってそういう文字列の集合体です。あくまで「どういう文字列かをチェックしている」と思ってください。
投稿2020/11/09 21:28
総合スコア80850
なるほどそういうものですか。
そうなりますと、質問の 'a'|'b' のみ許可という場合、どうバリデーションしたらいいのでしょうか?
もしお時間ございましたらバリデーションのソースコードを頂戴できましたらばと。
filter_inputで取得した変数を個別でチェック。質問に提示されたコードでほぼできてます。
> 送られる情報自体が全て基本的に文字列で
配列が来ることはありえます。
はい。ですので「基本的には」と書きました。
なんでトゲトゲするんですか…汗汗
ん?これでトゲトゲと言われても…。
淡々と事実をやり取りしているだけですよ。特に尖った感情とかはないです。
「フィルタリング」と「バリデーション」は厳密には違う概念ですので、「バリデーション」をしたいのでしたら、あくまで自身で組み込む必要があります。
ああなるほど!
フィルタリング → filter_input
バリデーション → if ( $alphabet !== 'a' && $alphabet !== 'b' )
であって、質問の 'a'|'b' のみ許可という場合、結局こう書くしかないというわけですな。
ありがとうございます。
フィルタはいわば「ふるい」なので「受け取る前に」どうするか
バリデーションは「受け取った上で利用する前に」どうするか
だと私は解釈しています。
特に今回はuchiwaさんが独自にチェックしたい要件なので受け取ったあとに内容確認するしかないのです。
「しかない」というより、「受け取りとバリデーション一緒に書くのは実装的に読みづらくならないか」という懸念の方が強いかもしれない
他のコメントにあるように「これくらいで正規表現使うのもねえ」というのもあります。
要件が仮ではなく具体的なものならもっと発展的なアドバイスもできるのでしょうけど。
なるほど。yambejp様、te2ji様のコードはフィルタの方法に文字列を入れることでバリデーションを一緒にやっていて、私もこれを指してバリデーションと呼んでいたのですが、理解が進みました。
そう理解すると、仰る読みづらさというのもわかる気がします。
まっ今回はせっかく知ったので正規表現でいってみます。たびたびありがとうございました!
バリデーションっていうと文字通り検証です
ログインの場合だとインプット確認するだけじゃ無理ですよね。
この場合だとID/PWが正しいかどうかDBに問い合わせた結果を以て判定する事でバリデーションと言いますね
0
ベストアンサー
PHP
1$alphabet=filter_input(INPUT_POST,"alphabet",FILTER_VALIDATE_REGEXP,["options"=>["regexp"=>"/^[ab]$/"]]); 2var_dump($alphabet);
投稿2020/11/10 00:15
総合スコア114843
ありがとうございます。本当に助かりました。
[ab]と一緒にするのですね。
(a|b)ではまずいでしょうか?
(一部補足)
正規表現の話ですね
[ab]と(a|b)は1文字の比較の場合、
基本的に同義ですのでどっちでもいいです
[abcd]≒(a|b|c|d)
[]の場合は否定ができるのが特徴です
[^abc]=「abc以外」にヒットします
いっぽう|区切りの場合は複数文字の比較に利用できます
(ab|cd)=「ab」か「cd」
よくわかりました。ご返信どうもありがとうございます!
(一部補足)←ありがとうございます。それぞれのメリット覚えておきます。
0
filter_inputを使う場合、「FILTER_REQUIRE_SCALARで配列を弾く」ということは必要かもしれません。
alphabet[]=fooのようなクエリを送られると、$_POST['alphabet']は配列になります。
投稿2020/11/09 22:29
総合スコア145184
> filter_inputに文字列はないのでしょうか?
$_GETや$_POSTで送信できる値は、もともと別ハンドリングが必要なファイルを除けば「文字列」と「文字列の配列」だけなので、配列を弾けば得られる値は文字列です。
確かに配列ではないので弾いた方がいいかもしれません。そちらのオプション調べましても「スカラーを必須とする」といった説明しかなく理解できなかったのですが、質問の 'a'|'b' のみ許可という場合、どうバリデーションしたらいいのでしょうか?
> 質問の 'a'|'b' のみ許可という場合、どうバリデーションしたらいいのでしょうか?
それは別途チェックしてください。
別途チェックというのは、すみませんどういうことでしょうか?
if ( $alphabet !== 'a' && $alphabet !== 'b' )と、すでにuchiwaさんが書いているコードのとおりです。
0
FILTER_VALIDATE_REGEXPでイケるんじゃないかなぁ。。。
ただ、あんまり正規表現使いたくない感じですけど。
php
1<?php 2$arr = ['hoge', 'fuga', 'piyo']; 3 4foreach($arr as $val){ 5 var_dump(filter_var($val, FILTER_VALIDATE_REGEXP, ['options'=> ['regexp' => '/^(hoge|piyo)$/']])); 6}
string(4) "hoge" bool(false) string(4) "piyo"
投稿2020/11/09 22:51
退会済みユーザー
総合スコア0
どうしてfilter_varにしてしまったのでしょうか?汗汗
filter_inputで知りたいのですが、もう少しお助けいただけないでしょうか。
以下ではいけませんよね?filter_varからfilter_inputへの変換がわからないのです。
$alphabet = ilter_input(INPUT_POST, 'alphabet ', FILTER_VALIDATE_REGEXP, ['options'=> ['regexp' => '/^(a|b)$/']]));
> どうしてfilter_varにしてしまったのでしょうか?汗汗
知りたかったのは、適用すべき検証フィルタなのでは?
うーん。やっぱり、ここで正規表現まで使ってフィルタしたくないなぁ^^;
他の回答者のコメントのように、別途チェックが妥当な設計な気がします。
POSTで'a'|'b' のみ許可としたいので、そのプロセスで検証フィルタが必須なのは間違いございませんが、それだけでは先に進めません…filter_varからfilter_inputへの変換がわからないのですが、そこは教えてはいただけないでしょうか?
あなたの回答
tips
プレビュー
