回答編集履歴
2
htmlspecialchars の使い方について追記
test
CHANGED
|
@@ -68,4 +68,24 @@
|
|
|
68
68
|
|
|
69
69
|
|
|
70
70
|
|
|
71
|
+
また htmlspecialchars() はシングルクオートをエスケープしません。今回の使いどころでは問題は起きませんが、場合によってはXSS攻撃を許してしまうため、オプションを指定してより強力なエスケープを行うことをおすすめします。(文字コードの指定は最近のPHPだと最初からUTF-8なので問題ないのですが念のため)
|
|
72
|
+
|
|
73
|
+
|
|
74
|
+
|
|
75
|
+
```php
|
|
76
|
+
|
|
77
|
+
htmlspecialchars($tmp);
|
|
78
|
+
|
|
79
|
+
|
|
80
|
+
|
|
81
|
+
↓
|
|
82
|
+
|
|
83
|
+
|
|
84
|
+
|
|
85
|
+
htmlspecialchars($tmp, ENT_QUOTES, 'UTF-8');
|
|
86
|
+
|
|
87
|
+
```
|
|
88
|
+
|
|
89
|
+
|
|
90
|
+
|
|
71
91
|
実践的なアプリケーションを作っていきたいのではあれば、セキュリティについても併せて学習をすすめてください。PHP界隈では「[体系的に学ぶ 安全なWebアプリケーションの作り方](https://www.amazon.co.jp/dp/4797361190/)」いわゆる徳丸本という大変有名な名著があるので興味があれば読んでみてください。(少し内容が古いですが、現在でも基礎知識は十分通じます)
|
1
セキュリティについて追記
test
CHANGED
|
@@ -22,10 +22,6 @@
|
|
|
22
22
|
|
|
23
23
|
|
|
24
24
|
|
|
25
|
-
---
|
|
26
|
-
|
|
27
|
-
|
|
28
|
-
|
|
29
25
|
あと $name_max をせっかく定義しているので、それに書き換えます。
|
|
30
26
|
|
|
31
27
|
|
|
@@ -38,15 +34,11 @@
|
|
|
38
34
|
|
|
39
35
|
|
|
40
36
|
|
|
41
|
-
|
|
37
|
+
さらに、strlen() 関数は日本語のようなマルチバイト文字に対応していません。たとえば名前欄に "勘解由小路左衛門三郎" (10文字) を入力しても、"名前は20文字以内で入力してください" と怒られてしまいます。
|
|
42
38
|
|
|
43
39
|
|
|
44
40
|
|
|
45
|
-
さらに、strlen() 関数は日本語のようなマルチバイト文字に対応していません。たとえば名前欄に `勘解由小路左衛門三郎` (10文字) を入力しても、"名前は20文字以内で入力してください" と怒られてしまいます。
|
|
46
|
-
|
|
47
|
-
|
|
48
|
-
|
|
49
|
-
|
|
41
|
+
ひらがな・漢字などのマルチバイト文字列を扱う[mbstring](http://php.net/manual/ja/book.mbstring.php) というライブラリがあります。strlen のマルチバイト対応版として [`mb_strlen()`](http://php.net/manual/ja/function.mb-strlen.php) が用意されているのでこれを使います。
|
|
50
42
|
|
|
51
43
|
|
|
52
44
|
|
|
@@ -55,3 +47,25 @@
|
|
|
55
47
|
if ((mb_strlen($name) <= $name_max) && (mb_strlen($name) !== 0)){
|
|
56
48
|
|
|
57
49
|
```
|
|
50
|
+
|
|
51
|
+
|
|
52
|
+
|
|
53
|
+
---
|
|
54
|
+
|
|
55
|
+
|
|
56
|
+
|
|
57
|
+
ちなみに本題ではありませんが、いくつかセキュリティ上の問題があります
|
|
58
|
+
|
|
59
|
+
|
|
60
|
+
|
|
61
|
+
* 悪意のあるユーザーが「ひとこと」に改行を含んだ文字を入力して送信すると、簡単にデータファイル(bbs.txt)の構造が壊れてしまいます
|
|
62
|
+
|
|
63
|
+
* 厳密にアクセス権を設定しない限り、ユーザーからデータファイル(bbs.txt)が覗かれてしまいます
|
|
64
|
+
|
|
65
|
+
|
|
66
|
+
|
|
67
|
+
今回のプログラムでは表示が崩れたり、投稿内容が書かれた生テキストが見えるだけで問題になりませんが、ユーザーのIPアドレスや非公開なメールアドレス等を記録するようになると問題がでてきます。
|
|
68
|
+
|
|
69
|
+
|
|
70
|
+
|
|
71
|
+
実践的なアプリケーションを作っていきたいのではあれば、セキュリティについても併せて学習をすすめてください。PHP界隈では「[体系的に学ぶ 安全なWebアプリケーションの作り方](https://www.amazon.co.jp/dp/4797361190/)」いわゆる徳丸本という大変有名な名著があるので興味があれば読んでみてください。(少し内容が古いですが、現在でも基礎知識は十分通じます)
|