質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.12%

phpプログラムの安全性、パフォーマンスについて

解決済

回答 1

投稿

  • 評価
  • クリップ 2
  • VIEW 653

nosonosolife

score 28

現在phpで掲示板スクリプトを制作しているのですが、
プログラムのセキュリティー面での対策や、処理速度などのパフォーマンス等について
修正したほうがいい部分などがあればご提示いただきたいと思っております。

以下、PHPコードです。

【書き込み投稿画面】

<?php
//接続文字列
$dsn = 'mysql:host=ホスト名;dbname=データベース名;charset=utf8';
$user = 'ユーザー名';
$password = 'パスワード';

try {
$pdo = new PDO($dsn, $user, $password);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_WARNING);

mb_language("uni");
mb_internal_encoding("utf-8"); //内部文字コードを変更
mb_http_input("auto");
mb_http_output("utf-8");

date_default_timezone_set('Asia/Tokyo');

$Date = date("Y/m/d D H:i:s");
$Name = htmlspecialchars($_POST["Name"]);
$Title = htmlspecialchars($_POST["Title"]);
$Message = htmlspecialchars($_POST["Message"]);
$Message = str_replace(array('\r\n','\r','\n'), '\n', $Message);

$stmt = $pdo->query("SET NAMES utf8;");  // この記述が必要
$stmt = $pdo -> prepare("INSERT INTO bbs_data (user_date, user_name, user_title, user_mes) VALUES (:date, :name, :title, :mes)");
$stmt->bindParam(':date', $Date, PDO::PARAM_INT);
$stmt->bindValue(':name', $Name, PDO::PARAM_STR);
$stmt->bindValue(':title', $Title, PDO::PARAM_STR);
$stmt->bindValue(':mes', $Message, PDO::PARAM_STR);
$stmt->execute();
header('Location: ./sendok.html');
exit;
}
catch (PDOException $e)
{
    //例外処理
    die('Error:' . $e->getMessage());
    header('Location: ./senderror.html');
}
?>


【書き込み表示画面】

<?php
//接続文字列
$dsn = 'mysql:host=ホスト名;dbname=データベース名;charset=utf8';
$user = 'ユーザー名';
$password = 'パスワード';

try {
$pdo = new PDO($dsn, $user, $password);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_WARNING);

mb_language("uni");
mb_internal_encoding("utf-8"); //内部文字コードを変更
mb_http_input("auto");
mb_http_output("utf-8");

$userData = null;

$page = empty($_GET["page"])? 1:$_GET["page"];//ページ番号
$pagemax = 100;//1ページあたりの表示数

$start = ($page == 1)? 0 : ($page-1) * $pagemax;

// 全レコード数を取るSQL
$sql = "select count(*) from bbs_data";
$result = $pdo->query($sql);
$count = $result->fetchColumn();
$count = intval($count, 10);
$limit = ceil($count/$pagemax);//最大ページ数

//datasテーブルから日付の降順でデータを取得
$sql = "select * from bbs_data ORDER BY user_date DESC limit ".$start.",".$pagemax;
$result = $pdo->query($sql);

while ($row = $result->fetchObject()){
    $userData[]=array(
            'id' => $row->user_id
            ,'date' => $row->user_date
            ,'name' => $row->user_name
            ,'title' => $row->user_title
            ,'message' => $row->user_mes
    );
}

function paging($limit, $page, $disp=10){
    //$dispはページ番号の表示数
    $next = $page+1;
    $prev = $page-1;

    //ページ番号リンク用
    $start =  ($page-floor($disp/2) > 0) ? ($page-floor($disp/2)) : 1;//始点
    $end =  ($start > 1) ? ($page+floor($disp/2)) : $disp;//終点
    $start = ($limit < $end)? $start-($end-$limit):$start;//始点再計算

    if($page != 1 ) {
        //最初のページへのリンク
        if($start >= floor($disp/2)){
            print '<li><a href="?page=1">1</a></li>';
        }
    }

    if($limit > 0 ) {
         if($page != 1 ) {
              print '<li><a href="?page='.$prev.'">&laquo; 前へ</a></li>';
         }else{
              print '<li><span>&laquo; 前へ</span></li>';
         }
    }

    for($i=$start; $i <= $end ; $i++){//ページリンク表示ループ
        if($i <= $limit && $i > 0 ){//1以上最大ページ数以下の場合
            if($page == $i){
                print '<li><span>'.$i.'</span></li>';//ページ番号リンク表示
            }else{
                print '<li><a href="?page='.$i.'">'.$i.'</a></li>';//ページ番号リンク表示
            }
        }
    }

    if($limit > 0 ) {
        if($page < $limit){
            print '<li><a href="?page='.$next.'">次へ &raquo;</a></li>';
        }else{
             print '<li><span>次へ &raquo;</span></li>';
        }
    }

    if($page != $limit ) {
        //最後のページへのリンク
        if($limit > $end){
            print '<li><a href="?page='.$limit.'">'.$limit.'</a></li>';
        }
    }
}
require './template/index_temp.php';
exit;
}
catch (PDOException $e)
{
    //例外処理
    die('Error:' . $e->getMessage());
}
?>


【書き込み検索画面】

<?php
//接続文字列
$dsn = 'mysql:host=ホスト名;dbname=データベース名;charset=utf8';
$user = 'ユーザー名';
$password = 'パスワード';

try {
$pdo = new PDO($dsn, $user, $password);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_WARNING);

mb_language("uni");
mb_internal_encoding("utf-8"); //内部文字コードを変更
mb_http_input("auto");
mb_http_output("utf-8");

$searchword = empty($_GET["searchword"])? null:$_GET["searchword"];//検索ワード

$searchData = null;

$page = empty($_GET["page"])? 1:$_GET["page"];//ページ番号
$pagemax = 100;//1ページあたりの表示数

$start = ($page == 1)? 0 : ($page-1) * $pagemax;
$end = ($page * $pagemax);

// 全レコード数を取るSQL
$sql = "select count(*) from bbs_data where (user_name like '%$searchword%') or (user_title like '%$searchword%') or (user_mes like '%$searchword%')";
$result = $pdo->query($sql);
$count = $result->fetchColumn();
$count = intval($count, 10);
$limit = ceil($count/$pagemax);//最大ページ数

//datasテーブルから日付の降順でデータを取得
$sql = "select * from bbs_data where (user_name like '%$searchword%') or (user_title like '%$searchword%') or (user_mes like '%$searchword%') ORDER BY user_date DESC limit ".$start.",".$pagemax;
$result = $pdo->query($sql);

while ($row = $result->fetchObject()){
    $searchData[]=array(
            'id' => $row->user_id
            ,'date' => $row->user_date
            ,'name' => $row->user_name
            ,'title' => $row->user_title
            ,'message' => $row->user_mes
    );
}

function paging($limit, $page, $disp=10){
    //$dispはページ番号の表示数
    $next = $page+1;
    $prev = $page-1;

    //ページ番号リンク用
    $start =  ($page-floor($disp/2) > 0) ? ($page-floor($disp/2)) : 1;//始点
    $end =  ($start > 1) ? ($page+floor($disp/2)) : $disp;//終点
    $start = ($limit < $end)? $start-($end-$limit):$start;//始点再計算

    if($page != 1 ) {
        //最初のページへのリンク
        if($start >= floor($disp/2)){
            print '<li><a href="?page=1">1</a></li>';
        }
    }

    if($limit > 0 ) {
         if($page != 1 ) {
              print '<li><a href="?page='.$prev.'">&laquo; 前へ</a></li>';
         }else{
              print '<li><span>&laquo; 前へ</span></li>';
         }
    }

    for($i=$start; $i <= $end ; $i++){//ページリンク表示ループ
        if($i <= $limit && $i > 0 ){//1以上最大ページ数以下の場合
            if($page == $i){
                print '<li><span>'.$i.'</span></li>';//ページ番号リンク表示
            }else{
                print '<li><a href="?page='.$i.'">'.$i.'</a></li>';//ページ番号リンク表示
            }
        }
    }

    if($limit > 0 ) {
        if($page < $limit){
            print '<li><a href="?page='.$next.'">次へ &raquo;</a></li>';
        }else{
             print '<li><span>次へ &raquo;</span></li>';
        }
    }

    if($page != $limit ) {
        //最後のページへのリンク
        if($limit > $end){
            print '<li><a href="?page='.$limit.'">'.$limit.'</a></li>';
        }
    }
}
require './template/search_temp.php';
exit;
}
catch (PDOException $e)
{
    //例外処理
    die('Error:' . $e->getMessage());
}
?>
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • 退会済みユーザー

    2016/06/20 07:43

    こちらの質問が他のユーザから「問題・課題が含まれていない質問」という指摘を受けました
    teratailでは、漠然とした興味から票を募るような質問や、意見の主張をすることを目的とした投稿は推奨していません。
    「編集」ボタンから編集を行い、質問の意図や解決したい課題を明確に記述していただくと回答が得られやすくなります。

回答 1

checkベストアンサー

+3

  • 安全なウェブサイトの作り方 https://www.ipa.go.jp/security/vuln/websecurity.html
    に、セキュリティ実装の実施状況を確認するためのチェックリスト があります。
    この項目の内容を理解し、チェックをしてみては如何でしょう。

または、セキュリテーチェックをするツールを利用する手もあります。
例:

パフォーマンスについては、
想定しているデータの最大量のデータを用意し、実際に操作をしみることが必要とおもいます。

あるいは、ソースコードレビューを teratail でしてもらうことを期待してますか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.12%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る