質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.33%

  • PHP

    21349questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • JavaScript

    17539questions

    JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

PHPからJavaScriptへ変数を渡す時の安全性

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 1,081

riccomercato

score 6

ページが読み込まれた後に変更されるPHP変数をJavaScriptへ気軽に渡したいと思っています。
セッション変数をajaxでjsonにより、まるごとJavaScriptへ渡すスクリプト作成し、汎用性を持たせて使い回す事は、安全性で問題はないでしょうか?
気をつける点などございましたら、教えてください。

function getSession( elemName ) {
            return $.ajax( {
                    url: "get-session.php",
                    type: "POST",
                    cache: false,
                    contentType: false,
                    processData: false,
                    data: {
                        getElem: elemName
                    },
                    dataType: "json"
                } )
        }
function getValue() {
        getSession( "element" ).done( function ( result ) {
            alert("result");
        } ).fail( function ( result ) {
            alert("失敗");
        } );
    }
<?php
header( 'Content-Type: application/json charset=UTF-8' );

$elemName=$_POST["getElem"];

$res=$_SESSION["$elemName"];

echo json_encode( $res );
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

0

ちょっと前提条件がよくわからないのですが、質問の意図について以下の二通りの解釈が可能だと思っています。

(1)ページが読み込まれた後、データをJavaScritに渡したい
こちらは通常のAJAXとなり、受け渡しのデータフォーマットとしてJSONを使うことは一般的です。その際のセキュリティ上の注意については、もう少し情報をいただかないとなんとも言えません

(2)PHPでHTMLを作成する際に、JavaScriptにデータを渡したい
こちらについても、JSONを用いる手法が奥一穂氏から提唱されています。

サーバサイドからクライアントサイドのJavaScriptを呼び出す際のベストプラクティス
Inline JSONPの長所について (続: サーバサイドからクライアントサイドのJavaScriptを呼び出す際のベストプラクティス)

どちらの話題でしょうか?


コメント拝見しました。(1)でトライされているのですね。
まず、AJAXの通信内容は他人からは見えませんが、利用者本人からは閲覧できます。なので、利用者本人にも見せたくない情報はAJAXのJSONに含めてはいけません。
また、JSONの内容の書き換えについても同様で、他人は書き換えできませんが、利用者本人はJSONの内容を書き換えできます。このため、利用者によって書き換えられては困るようなものも送ってはいけません。ただし、このあたりの判断は実は難しくて、「画面上で表示が変わるだけなら問題ない」、「JavaScriptの演算結果によって利用者に利益が得られるような場合は問題になる可能性が高くなる」等の違いが出てきます。なので、もう少し具体化した質問をされた方が有益な回答が得られやすいと思います。

そもそもAJAXがうまく動かないのであれば、まずは別の質問でそちらを解決された方がよいと思います。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/03/31 16:41

    (1)で現在トライしております。
    この関数をロード時に実行すると正常なのですが
    クリックなどのアクションで実行するとなぜか失敗のアラートになってしまいます。

    ページを最初に読み込んだ後にajaxでphp変数を頻繁に書き換えるので
    (1)の方法が妥当だと思っておりますが、初心者にもおすすめな方法など
    ありましたら、よろしくお願いいたします。

    キャンセル

  • 2017/03/31 17:59

    JSONによる受け渡しのリスクや配慮することがわかり安心しました。
    よく使うと思うので今後の参考に大変役立ちます。
    今回の動作は少しハマり気味なので、別の手段で対処しようと思います。
    javaScriptで生成された要素の存在チェックで今回の目的をクリアできそうです。
    またの機会にこの件につきましてマスターしたいと思います。
    ありがとうございます。

    キャンセル

0

なにをもって安全性といっているのかわかりませんが
守秘性の高いデータをhttpベースでやり取りするのは
安全だとは言えません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/03/31 09:48

    説明があいまいで申しわけありませんでした。
    安全性とは守秘性で、おっしゃる通りセッション変数を丸ごと
    外の変数へ持っていくのはよろしくないですね。
    不要な情報までJavaScriptへ持っていくのも要領が悪そうなので
    スポットスポットで必要な情報のみ、その都度取得する方法で考えてみようと思います。

    キャンセル

同じタグがついた質問を見る

  • PHP

    21349questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • JavaScript

    17539questions

    JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。