質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.53%

PHP掲示板 編集機能実装について

受付中

回答 2

投稿

  • 評価
  • クリップ 0
  • VIEW 1,596

germanium

score 9

PHPで簡易掲示板を作っております。 
下記コードで編集機能を実装しようとしています。 
「各投稿番号とPOST送信されてきた編集番号を比較し、等しい場合、配列値を取得する」 
ことはできたと思うのですが、 
「入力フォームに取得した配列値を上書きで表示する」 
ことができません。どのように書き直したらいいか、回答お願いいたします。 

例えば、投稿番号が1、名前がabcd、コメントがnovelという投稿だけがもともとあるとします。その状態で編集対象番号に1を入力し、送信すると、フォームの名前のところにabcd、コメントのところにnovelが出力され、これを名前をefgh、コメントをsongに編集し、送信すると投稿番号2(名前:efgh、コメント:song)が新たに追加されます。
これを投稿番号1で名前:efgh、コメント:songだけが存在する状態にしたいのですが…

よろしくお願いいたします。

<?php

    $name = $_POST['name'];
    $name = htmlspecialchars($name);

    $comment = $_POST['comment'];
    $comment = htmlspecialchars($comment);

    $delete = $_POST['delete'];
    $delete = htmlspecialchars($delete);

    $edit = $_POST['edit'];
    $edit = htmlspecialchars($edit);

    $time = date("Y/m/d H:i:s");

    $line = file("mission_2-2.txt");
    $num = count($line);

    $write =  "{". $num . "}<>{" . $name . "}<>{" . $comment . "}<>{" . $time . "}";

    if (!empty($name) && !empty($comment)) {
        $fp = fopen ("./mission_2-2.txt","a");
        fputs ($fp, $write."\n");
        fclose ($fp);
    }

    if (!empty($delete)) {
        $delCon = file("mission_2-2.php");
        for ($j = 0; $j < count($delCon) ; $j++) {
            $delData = explode("<>", $delCon[$j]);
            if ($delData[0] == "{".$delete."}") {
                array_splice($delCon, $j, 1);
                file_put_contents("./mission_2-2.txt", $delCon);
            }
        }
    }

    // $editが'0'のときif文通らない
    if (!empty($edit)) {
        $ediCon = file("mission_2-2.txt"); 
        for ($k = 0; $k < count($ediCon) ; $k++) {
            $ediData = explode("<>", $ediCon[$k]);
            if ($ediData[0] == "{".$edit."}") {
                //$simEdit = explode("}<>{", $ediCon[$k]);
                for($h = 0; $h < count($ediData); $h++){
                    $simEdit[$h] = mb_substr(trim($ediData[$h]), 1, -1);
                }
            }
        }
    }


?>
<!DOCTYPE html>
<html>

<head>
<meta charset="UTF-8">
<title>favorite book</title>
</head>

<body>
    <form method="POST" action="<?php echo($_SERVER['PHP_SELF']) ?>">
        <label for="name">名前:</label>
        <input type="text" name="name" value="<?php echo $simEdit[1]; ?>"><br><br>

        <label for="comment">コメント:</label>
        <textarea name="comment" cols="30" rows="5"><?php echo $simEdit[2]; ?></textarea><br>
        <input type="submit" value="投稿する">
    </form>

    <br>

    <form method="POST" action="<?php echo($_SERVER['PHP_SELF']) ?>">
        <label for="delete">削除対象番号</label><br>
        <input type="text" name="delete"><br>
        <input type="submit" value="削除する">
    </form>

    <br>

    <form method="POST" action="<?php echo($_SERVER['PHP_SELF']) ?>">
        <label for="edit">編集対象番号</label><br>
        <input type="text" name="edit"><br>
        <input type="submit" value="編集する">
    </form>

<?php

    $contents = file('mission_2-2.txt');
    foreach($contents as $line){
        $data = explode("<>", $line);
        for($i = 0 ; $i < count($data); $i++){
            echo $data[$i]."<br>";

        }
    }

?> 
</body>
</html>
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

+2

挙動がおかしい時は一般的に条件分岐が意図していない動作をしている場合が多いです。
条件文内の変数を追うことで、意図通り動くように修正することができるようになります。
変数を追うには、デバッグ環境を整え、ステップ実行し、変数の変移を追うと良いです。

また、本件では常に「NOTICE」レベルのエラーが出る記述になっています。
表示されていないのであれば、それは「E_NOTICE」の表示が on になっていないからです。
デバッグ中は「エラー表示」のすべてを常に on することで問題点を確認することが重要です。

ざっくりとですが、問題点は以下のとおりです。
・form 文の構成がおかしい
・if 文の設計がおかしい
・$_POST が空の時の対応が記述されていない
・htmlspecialchars の使用箇所が悪い

ブラウザの「開発ツール」を使用することで POST 内容を確認できますので、そちらも併せて使用すると、デバッグがはかどります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/28 15:15

    ご回答いただきありがとうございます
    常にnoticeエラーが出るとのことですが、私のパソコン上ではエラーが出ずに
    普通に表示されます。これはどのような原因によるものでしょうか

    キャンセル

  • 2017/10/28 15:47

    「E_NOTICE」の表示が on になっていないからです。

    キャンセル

+1

htmlspecialchars関数はあくまでHTMLに出力するための関数です。

$name = $_POST['name'];
$name = htmlspecialchars($name);

$comment = $_POST['comment'];
$comment = htmlspecialchars($comment);

$delete = $_POST['delete'];
$delete = htmlspecialchars($delete);

$edit = $_POST['edit'];
$edit = htmlspecialchars($edit);


こんなコードはクロスサイトスクリプティング(XSS)の脆弱性となります。

ユーザー入力を受け取るには $_POST変数がセットされているかかつ文字列であるかというのをチェックしてそうでなかったら nullを代入する必要があります。

function postCheck($name)
{
    if (isset($_POST[$name]) && is_string($_POST[$name])) {
        return $_POST[$name]
    }
    return null;
}

$name = postCheck('name');
$comment = postCheck('comment');
$delete = postCheck('delete');
$edit = postCheck('edit');


とするか 以下のようにfilter_input関数を用いる必要があります。

$name = (string)filter_input(INPUT_POST,'name');
$comment = (string)filter_input(INPUT_POST,'comment');
$delete = (string)filter_input(INPUT_POST,'delete');
$edit = (string)filter_input(INPUT_POST,'edit');


htmlspecialchars関数の正しい使い方は以下のようにHTMLに出力する場合に使うべきです。

<p><?php echo htmlspecialchars($name, ENT_QUOTES,"UTF-8"); ?></p>

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/28 15:51

    一番上のサンプルスクリプトでクロスサイトスクリプティング(XSS)が発生すると記述がありますが、どのようなケースでしょうか?

    キャンセル

  • 2017/10/28 16:06

    ありがとうございます。
    htmlspecialchars関数の使い方に関して思い違いをしていたようです。
    改善します

    キャンセル

  • 2017/10/29 01:44

    htmlspecialchars関数は
    <script>alert('hello world!');</script> のような文字列を &lt;script&gt;alert(&#039;hello world!&#039;);&lt;/script&gt; に変換してくれる関数なのでデータベースのパラメータに入れるのは間違っていますからね。

    キャンセル

  • 2017/10/29 04:11 編集

    もう少しちゃんと書いてほしかったので、質問したのですけど、スルーされちゃいましたね^^;

    htmlspecialchars の使用に際して、デフォルトのまま使用することは推奨されません。第2,第3引数まで指定することが一般的です。
    これは、デフォルトのままだとシングルクォーテーション(')をエスケープしないからです。今回は、HTML の記述においてシングルクォーテーションを使用していないので脆弱性にはなりませんが、予防処置として
    htmlspecialchars($str, ENT_QUOTES, 'UTF-8')
    のように、第2引数に ENT_QUOTES を指定し、第3引数で変換に使用 される文字セットを記述することが推奨されています。

    また、出力時以外の箇所でエスケープすることが正しくないのは、以下のリンク先の mpyw さんの回答が参考になります。

    https://ja.stackoverflow.com/questions/2408/%E8%84%86%E5%BC%B1%E6%80%A7%E5%AF%BE%E7%AD%96%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8Bhtmlspecialchars%E3%81%AE%E4%BD%BF%E7%94%A8%E7%AE%87%E6%89%80%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6

    こちらも今回のスクリプトでの影響はありませんが、習慣として、出力時にエスケープすべきです。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.53%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る