質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.94%

php post(get)の値をmysqlに格納する際の注意点?

解決済

回答 4

投稿

  • 評価
  • クリップ 2
  • VIEW 1,192

score 43

前提・実現したいこと

PHPだけとは限らないと思いますが、POSTやGETで値を受け取り
それをMYSQLにinsertやupdateをする際にやっておくことは
ありますか?

ちょっと漠然としていて、申し訳ありませんが、
例えば出力する際は、htmlspecialcharsはすべきだとか、
あると思います。

strip_tagって、やったほうがいいのでしょうか?
filter_inputって、やったほうがいいのでしょうか?
などなど。。。

全部はきりがないと思いますが、どれくらいするのかな?と
疑問があり、ご意見をいただければと存じます。

現在一応、PDOでPREPAREを使用しております。
これだけでいいのでしょうか???

社内システム程度のものをロリポップに設置しており、
金銭的な情報は扱わず、どちらかというと日報的な
文字ベースの情報を扱うシステムでのご相談です。

あまりにも漠然とした質問ですが、お付き合い頂けるかたが
いらっしゃれば、ぜひ、ご教授ください。

*テーマが重たすぎるので、ある程度のところで解決済みにします。

補足情報(言語/FW/ツール等のバージョンなど)

ロリポップのレンタルサーバー

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

checkベストアンサー

+3

IPAが
安全なwebサイトの作り方
で考え方からチェックシートまで配布していて
とてもためになる資料なので一読をお勧めします。

回答としては、全部の変数がプリペアードステートメントで処理されているのであれば、
SQLインジェクションの心配はありません。

また、DBにinsertするタイミングではHTMLエスケープはするべきでは無く、
HTML出力するタイミングで(テンプレートエンジンを使うなりして、原則としてすべての値を)エスケープするというのがここしばらくの主流の考えだと思います。
*これに関しては異論も存在しますし、絶対的なものではありません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/11/28 12:53

    ありがとうございます。
    ご紹介のサイトをしっかり勉強してみます。

    キャンセル

+2

  • htmlspecialcharsはしない
  • strip_tagはしない
  • filter_inputはする

DBへの登録は基本的には生データのまま行うのが原則ですが
バリデートは入出力の基本ですから想定しないデータをDBに保持する意味がなので
なんらかのフィルターはかけたほうがよいでしょう

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/11/28 12:53

    ありがとうございます。
    filter_inoutは、使うようにします。

    キャンセル

0

プリペアドステートメントを利用しているのであれば、SQLインジェクションの心配はないですね。
HTMLエスケープについては、データベースに入れる際に絶対しなければということはありません。
これはビューに表示する際の問題なので、毎回変換するより入れるときに変えてしまえ的なポリシーでよければいいのではないでしょうか。

やっておくこととして、値の有効性のチェック、長さのチェック等でしょうか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/11/28 12:52

    ありがとうございます。
    インプットで、マックスレングス設定したり、多少の制御はしています。

    キャンセル

0

皆様ありがとうございました。
PDOのPREPAREは必須で、あとは、filter_inputと文字数制限などの
ケアをしておけば現時点ではよさそうですね、

画面上での、maxlengthなどのチェックをきっちり追加すること、
JAVASCRIPTなどで、文字のチェックなどを行い、filter_inputを
使うようにします。

また、クリックジャッキング等も今勉強中ですので、ここでも疑問が
出てきたら、またその折には、ご指導よろしくお願いします。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/11/28 23:36

    maxlengthやJavascriptでの制限はセキュリティ的には「一切」意味が無いので、
    あくまでユーザーインターフェイスの利便性を提供するものと考えたほうがいいですね。

    キャンセル

  • 2016/11/29 00:10

    ありがとうございます。
    えーと思って調べましたが、確かに利便性にしかならないですね。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.94%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る