【PHP】検索ボックスから「直接アクセスされたら」の条件分岐について

検索ボックスをクリックした後の処理を searchbox.php に記入しているのですが、5行目の処理の意味が分かりません。

if(!isset($_POST['word'])){

この部分を「もしテキストが何も入っていなかったら」という意味だと思ったのですが、15行目の条件式がそんな役割を果たしているため違うと思いますし、searchbox.phpへ直接アクセスという意味もよく分かっていません。
ご教授いただけると幸いです。

PHP
1// sideber.php
2
3<sidebar class="sidebar" id="sidebar">
4  <div class="searchbox">
5    <form  method="post" action="searchbox.php">
6      <input type="text"  name="word" value="" placeholder="word..." required>
7      <input type="submit" name="submit" value="検索" id="search" >
8      <label for="search"><i  class="fas fa-search"></i> </label>
9    </form>
10  </div>
11</sidebar>

PHP
1// searchbox.php
2
3<?php
4// searchbox.php へ直接アクセスされたらリダイレクト
5if(!isset($_POST['word'])){
6  header('Location:https://'.$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF']).'/');
7  exit();
8}
9
10// $_POST['word']で入力値を取得 文字前後の空白除去&エスケープ処理
11$word = trim(htmlspecialchars($_POST['word'],ENT_QUOTES));
12// 文字列の中の「　」(全角空白)を「」(何もなし)に変換
13$word = str_replace("　","",$word);
14// 対象文字列が何もなかったらキーワード指定なしとする
15if($word === ""){
16  $word = "キーワード指定なし";
17}
18?>

行動規範の内容に同意します

回答2件

PHP
1<?PHP
2var_dump(!isset($_POST['word']));
3?>
4<form method="post">
5<input name="word">
6<input type="submit" value="send">
7</form>
8<form method="post">
9ワードなしのpost送信
10<input type="submit" value="send">
11</form>

「postでwordパラメータが送られてこなければ」という意味なので空のデータでもパラメータ名が送られてくればfalseになります

投稿2022/12/29 00:28

yambejp

総合スコア114843

flexibler

2022/12/29 05:53 編集

上記コードを実際に動かしてみて凄く理解できました！ありがとうございます！！

行動規範の内容に同意します

ベストアンサー

isset()はあくまで「変数の宣言の有無」を調べるものです。
https://www.php.net/manual/ja/function.isset.php

URLをブラウザのアドレスバーに直に打った場合のリクエストメソッドは「GET」となるため、POSTは送られていません。
また、そのPHPへの直アクセス可能なURLである場合、直接ブラウザからアクセスできるので、
POSTがない→変数は宣言されていない

という意図があるのでしょう。

ただ、コメントにある「直接アクセスされたら」の対策としては不十分です。
$_SERVERのREQUEST_METHODをチェックすべきでしょうし、その後も$_POSTに直アクセスするのではなくfilter_input()を利用した方が良いでしょう。

受け取って検索に使うとしたら、画面出力しない情報にhtmlspecialchars()をかけているのはNGです。

投稿2022/12/28 22:26

m.ts10806

総合スコア80850

flexibler

2022/12/29 06:11

そういう意味なんですね！だから、それだけと、リクエストメソッドの特定ができないから「REQUEST_METHOD」等を用いるのですね。ありがとうございます！！ちなみにですが、直接アクセスされるとどんなリスクがあるのでしょうか。知らない人でもコードが覗けたり、書き換えられたり、あるいはウイルス面で危険だったりするのでしょうか。

m.ts10806

2022/12/29 06:57

>知らない人でもコードが覗けたりないです。 HTML,CSS,JSなど「クライアントサイド」のコードであればブラウザから確認可能ですが、 PHPは無理です。 >書き換えられたりないです。＞あるいはウイルス面で危険だったり全くないです。ただ、GETリクエストはURLによるリクエストで、フォームから送信したときなど、クエリストリングによりリクエストが構成されることになります。つまり、ブックマーク可能です。リクエスト内容もURLを書き換えれば幾らでも改ざんできます。もちろん、HTML自体、ブラウザの機能で当該クライアントのみ改ざん可能なので、適切なバリデーション（サーバーサイド）は絶対必要ですが、「直接アクセス可能な機能かどうか」でGETかPOSTか使い分けるべきかなと。そのあたりは「GETとPOSTの違い」で調べれば解説記事はありますし、Webセキュリティ観点での記事も見つかると思います。

行動規範の内容に同意します

あなたの回答