質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.34%

  • PHP

    21282questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • jQuery

    7101questions

    jQueryは、JavaScriptライブラリのひとつです。 簡単な記述で、JavaScriptコードを実行できるように設計されています。 2006年1月に、ジョン・レシグが発表しました。 jQueryは独特の記述法を用いており、機能のほとんどは「$関数」や「jQueryオブジェクト」のメソッドとして定義されています。

  • jQuery UI

    167questions

    jQuery UI はjQuery公式のインターフェースライブラリであり、対話型のウェブアプリケーションを作る際に役立ちます。

jQueryの自動入力補完について

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 615

gsuisk

score 64

jQueryのautocompleteを実装してみたのですが、4つの疑問があります。
(1つでもお答えいただけたら嬉しいです。)

サーバーサイドはPHPで、配列に指定のワードを格納しておき、ユーザーが検索ワードを入力していくと、それが前方で一致するものを候補として出してくれます。

入力フォームは以下のようになりました。

<!DOCTYPE html>
<html lang="ja">
<head>
<meta charset="utf-8">
<title>INPUT</title>

<script src="//ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js"></script>
<link rel="stylesheet" href="//ajax.googleapis.com/ajax/libs/jqueryui/1.11.0/themes/smoothness/jquery-ui.css" />
<script src="//ajax.googleapis.com/ajax/libs/jqueryui/1.11.0/jquery-ui.min.js"></script>

<script>
$(function() {
    $("#ac").autocomplete({
        source: "./autocomplete.php"
    });
});
</script>

</head>
<body>

<form>
<input type="text" id="ac">
</form>

</body>
</html>

(1) link rel="stylesheet" が指定されていますが、独自のCSSを使用することはできないのでしょうか?また、そうするとautocomplete機能に影響がありますか?

(2) jQueryを利用するために script src を指定しますが、上記のものでも問題ないでしょうか?(正常に動作しますが最新バージョンではないと思います。)

サーバーサイドのautocomplete.phpです。

//list[]に候補のワードが格納
require_once("list.php");


$words = [];

$term = (isset($_GET['term']) && is_string($_GET['term'])) ? $_GET['term'] : '';

foreach($list as $word){
 $pos = mb_stripos($word, $term);
   if($pos===0){
     $words[] = $word;
   }
}

header("Content-Type: application/json; charset=utf-8");
echo json_encode($words);

(3) ユーザーは1文字入力するたびに、Ajaxでautocomplete.phpにアクセスしているのですか?

(4) $term = (isset($_GET['term']) && is_string($_GET['term'])) ? $_GET['term'] : '';
としていますが、$termはfilter_inputで受け取ったりHTMLエスケープをしたりする必要はあるでしょうか?
コードがセキュリティ的に安全かどうかも知りたいです。

質問が多くて恐縮ですが、お答えいただけたらうれしいです。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+1

(1) link rel="stylesheet" が指定されていますが、独自のCSSを使用することはできないのでしょうか?また、そうするとautocomplete機能に影響がありますか?

基本的にはすべて独自CSSで置き換えることはできないと思ってください。
テーマがあるのでテーマを好みのテーマを選んでダウンロードしてください。下記のページでカスタマイズすることも可能です。
http://jqueryui.com/themeroller/

どの程度変更したいのかによりますが、現時点で読み込んでいるjquery-ui CSSの同じ要素のセレクタを上書きすれば、多少の変更なら簡単にできるかと思います。
Google Chromeならブラウザのデバッグコンソール(F12)のElementsに要素のCSSが表示されますし、一時的に変更することも可能です。

(2) jQueryを利用するために script src を指定しますが、上記のものでも問題ないでしょうか?(正常に動作しますが最新バージョンではないと思います。)

試したことがないのでなんとも言えませんが、最新バージョンだと動かないかもしれません。現時点ではjqueryのバージョン1.12.x最新がよろしいかと思います。
最新バージョンが使いたいなら試してみるとよいと思います。(動かない場合は諦めてください)

(3) ユーザーは1文字入力するたびに、Ajaxでautocomplete.phpにアクセスしているのですか?

下記のようにすると入力文字数を指定してAjax送信できます。

$("#ac").autocomplete({
    source: "./autocomplete.php",
    minLength: 2
});


https://jqueryui.com/autocomplete/#remote

(4) $term = (isset($_GET['term']) && is_string($_GET['term'])) ? $_GET['term'] : '';
としていますが、$termはfilter_inputで受け取ったりHTMLエスケープをしたりする必要はあるでしょうか?
コードがセキュリティ的に安全かどうかも知りたいです。

危険なので filter_input() でサニタイズしてください。

ユーザーからの受信データーはサニタイズする癖をつけておいたほうが良いです。質問のコードまるまる同じコードであればリスクは極めて低いと思いますが、できるだけセキュリティに関する部分は神経質になるぐらいで丁度よいです。

エンドユーザーからサーバーサイドに送信される値はすべて疑ってかかることが基本です。$_GET, $_POST, S_COOKIEなどすべてサニタイズする必要があります。(もちろん例外はあります)

$_GET、$_POSTなどの値をそのままブラウザ上に表示したり、DBのクエリに使うとインジェクションが発生します。
この他に有名なのはクロスサイトリクエストフォージェリ(CSRF:Cross-Site Request Forgery)があります。forgeryとは偽造という意味なので、リクエスト偽造ということになります。

公開サーバーにプログラムを公開する場合は、どのような脆弱性が起こりえるのか確認して対策するようにしてください。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/09/24 16:10

    ありがとうございます!

    filter_input()はデフォルトで第3引数がFILTER_UNSAFE_RAW(何もせず、オプションで特殊文字を取り除いたりエンコードしたりする)ですが、FILTER_SANITIZE_FULL_SPECIAL_CHARSの方が安全ですか?POSTを受け取ってDBに格納するまでにhtmlエスケープする必要はないですかね。

    もちろんクライアントへの出力前はすべてhtmlspecialcharsしますが 。

    キャンセル

  • 2017/09/24 23:15

    $_GET['term']を直接ブラウザ上に表示しない場合は、引数なしのデフォルト(FILTER_UNSAFE_RAW指定と同じ)で問題ありません。質問のコードではブラウザ上に表示は意図していないですよね?

    ただし、$_GET['term']を直接ブラウザ上に表示するような場合は、FILTER_SANITIZE_FULL_SPECIAL_CHARSの方が安全です。(XSS対策)
    つまり、HTMLやJavaScriptをフォームから入力した場合に、ブラウザ上に意図しないHTMLやJavaScriptが実行されてしまうのを防ぎます。

    また、今回の質問のコードでは意図されていないのだと思いますが、$_GET['term']をDBに格納する場合は、クエリSQLのエスケープも忘れずに行うようにします(SQLインジェクション対策)。

    filter_input() はセキュリティ対策として有効ですが、間違ったフィルターを使用してしまうともちろん、セキュリティリスクになりえます。ケースバイケースなので、ケースによって適切なフィルターを見つけられるようにしておいたほうがよいです。

    キャンセル

  • 2017/09/24 23:57

    ありがとうございます。

    GETやPOSTデータをDBに格納する時のクエリSQLのエスケープとは何のことでしょうか?(調べてみたのですが、SQLエスケープ関数mysql_real_escape_stringは使用できないみたいです。)

    SQL文実行時に変数や値をバインドしたり、execute()の引数としてパラメータ値の配列を渡す、等といったことのことですか?

    キャンセル

+1

  1. できる。影響は書き方次第。CSSをまず勉強してください。
  2. 何を聞きたいのかがわからないのでパス。
  3. デフォルトではそう。
  4. JSONで返しているのでHTMLエスケープの必要は無い

【Autocomplete Widget | jQuery UI API Documentation】
http://api.jqueryui.com/autocomplete/#option-minLength

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

同じタグがついた質問を見る

  • PHP

    21282questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • jQuery

    7101questions

    jQueryは、JavaScriptライブラリのひとつです。 簡単な記述で、JavaScriptコードを実行できるように設計されています。 2006年1月に、ジョン・レシグが発表しました。 jQueryは独特の記述法を用いており、機能のほとんどは「$関数」や「jQueryオブジェクト」のメソッドとして定義されています。

  • jQuery UI

    167questions

    jQuery UI はjQuery公式のインターフェースライブラリであり、対話型のウェブアプリケーションを作る際に役立ちます。