質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

2回答

2408閲覧

PHPでのエスケープ処理

YamamotoHiroki

総合スコア57

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

0クリップ

投稿2015/04/05 08:36

PHPでエスケープ処理がうまくいきません。
エスケープ処理自体初めてなので間違っている箇所があれば指摘してほしいです。
ぐぐってもいまいちわからなかったですし
アップロードしたサイト上で確認するとどうやらclassが反映されていないことと
<input type="submit" value="内容を確認する">
をクリックしてもNotFoundになってしまうことです。

lang

1<section> 2 3<h2>送信内容確認</h2> 4 5<?php 6$user1 = $_GET["name"]; 7$user2 = $_GET["mail"]; 8$user3 = $_GET["place"]; 9 10if ($_GET["select"] == 1 ) { 11 $user4 = 1; 12}elseif($_GET["select"] == 2 ) 13{ 14 $user4 = 2; 15}elseif($_GET["select"] == 3 ){ 16 $user4 = 3; 17}elseif($_GET["select"] == 4 ){ 18 $user4 = 4; 19}elseif($_GET["select"] == 5 ){ 20 $user4 = 5; 21} 22$user5 = $_GET["question"]; 23 24echo "<form action=&quot; contact-send.php &quot; method= &quot; get &quot;> 25<table class=&quot; ta1 mb1em &quot;> 26<tr> 27<th>お名前※</th> 28<td>".$user1."</td> 29</tr> 30<tr> 31<th>メールアドレス※</th> 32<td>".$user2."</td> 33</tr> 34<tr> 35<th>ご住所</th> 36<td>".$user3."</td> 37</tr> 38<tr> 39<th>お問い合わせ項目※</th> 40<td>".$user4."</td> 41</tr> 42<tr> 43<th>お問い合わせ詳細※</th> 44<td>".$user5."</td> 45</tr> 46</table>"; 47 48 49?> 50 51<p class="c"> 52<input type="submit" value="内容を確認する"> 53</p> 54 55</section>

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

本題とは異なりますが変数には意味のある名前をつけましょう。

lang

1$user1 = $_GET["name"]; 2$user2 = $_GET["mail"]; 3$user3 = $_GET["place"];

lang

1$name = $_GET["name"]; 2$mail = $_GET["mail"]; 3$place = $_GET["place"];

== でも良いのですが、 変数の型がわかっている場合は === を使ってみてください。
http://php.net/manual/ja/language.operators.comparison.php

lang

1if ($_GET["select"] == 1 ) { 2 $user4 = 1; 3}

lang

1if ($_GET["select"] === 1 ) { 2 $user4 = 1; 3}

XSSのセキュリティホールがあります。htmlspecialchars()などでエンコードをしてください。
XSSといわれると分からない場合、例えばnameにHTMLのタグが渡されるとそのタグが文字列として表示されるのではなく、タグとして実行されてしまうのはお分かりいただけると思います。
http://viral-community.com/blog/xss-1835/

lang

1$user1 = $_GET["name"]; 2$user2 = $_GET["mail"]; 3$user3 = $_GET["place"]; 4//中略 5$user5 = $_GET["question"];

lang

1$user1 = htmlspecialchars($_GET["name"]); 2$user2 = htmlspecialchars($_GET["mail"]); 3$user3 = htmlspecialchars($_GET["place"]); 4//中略 5$user5 = htmlspecialchars($_GET["question"]);

アップロードしたサイト上で確認するとどうやらclassが反映されていないことと
<input type="submit" value="内容を確認する">
をクリックしてもNotFoundになってしまうことです。

以下のようにしてみてください。

lang

1echo "<form action=\"contact-send.php\" method=\"get\">

投稿2015/04/05 09:00

編集2015/04/05 09:06
munyaX

総合スコア783

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

①fromタグの部分は以下のように変更してみてください。
echo "<form action='contact-send.php' method='get'>
または
echo "<form action="contact-send.php" method="get">

②改行も同様に\n としてエスケープ処理をしてください。面倒なら以下のように
ヒアドキュメントにしても良いと思います。

print<<<EOF

<form action="contact-send.php" method= "get"> <table class="ta1 mb1em"> <tr> <th>お名前※</th> <td>$user1</td> </tr> <tr> <th>メールアドレス※</th> <td>$user2</td> </tr> <tr> <th>ご住所</th> <td>$user3</td> </tr> <tr> <th>お問い合わせ項目※</th> <td>$user4</td> </tr> <tr> <th>お問い合わせ詳細※</th> <td>$user5</td> </tr> </table> EOF;

投稿2015/04/05 08:55

編集2015/04/05 09:07
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

YamamotoHiroki

2015/04/05 09:33

ありがとうございます。 ヒアドキュメントにすると何かデメリットはあるのですか? なければわざわざエスケープ処理する必要がないと思ったのですが。
退会済みユーザー

退会済みユーザー

2015/04/05 09:40

今回のケースではデメリットはありませんが、繰り返し処理とかは出来ないのが デメリットです。最も、PHPのHTML出力については面倒なエスケープやヒアドキュメントよりも テンプレートエンジンを使用したほうが開発は捗るかとおもいます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問