編集履歴

回答編集履歴

edit

2021/01/19 22:53

投稿

スコア80888

answer CHANGED Viewed

@@ -38,9 +38,15 @@
 返り値
 var が存在し、かつ**その値が空や0でなければ**、 つまり boolean のコンテキストで false と見なされる場合、false を返します。
-つまり`empty($_POST['gender'])`は「男」を選択した「0」のときは必ずempty()であると判定されます。
+つまり`empty($_POST['gender'])`は「男」を選択した「0」のときは必ずempty()はtrueが返っています。
 emptyを使う際の注意点です。
 0を「空である」と判定します。
+```php
+var_dump(empty(0)); //true
+var_dump(empty('0')); //true
+var_dump(empty(1)); //false
+var_dump(empty('1')); //fals
+```
 ユーザーからの入力は何が来るか分からない…と言う点でempty()でチェックするのは悪手だと考えられます。
 ブラウザのデベロッパーツールから書き換えればhiddenからだって0を送れます。prefectureのほうも改ざん可能です。

edit

2021/01/19 22:52

投稿

m.ts10806

スコア80888

answer CHANGED Viewed

@@ -38,9 +38,9 @@
 返り値
 var が存在し、かつ**その値が空や0でなければ**、 つまり boolean のコンテキストで false と見なされる場合、false を返します。
-つまり`empty($_POST['gender'])`は「男」を選択した「0」のときは必ずfalseが返ります。
+つまり`empty($_POST['gender'])`は「男」を選択した「0」のときは必ずempty()であると判定されます。
 emptyを使う際の注意点です。
-0をfalseと判定します。
+0を「空である」と判定します。
 ユーザーからの入力は何が来るか分からない…と言う点でempty()でチェックするのは悪手だと考えられます。
 ブラウザのデベロッパーツールから書き換えればhiddenからだって0を送れます。prefectureのほうも改ざん可能です。

edit

2021/01/19 22:51

投稿

m.ts10806

スコア80888

answer CHANGED Viewed

@@ -42,7 +42,9 @@
 emptyを使う際の注意点です。
 0をfalseと判定します。
-ユーザーからの入力は何が来るか分からない…と言う点でempty()でチェックするのは悪手だと考えられます。「keyが存在したら」とう観点ならisset()でも良いのですけど、
+ユーザーからの入力は何が来るか分からない…と言う点でempty()でチェックするのは悪手だと考えられます。
+ブラウザのデベロッパーツールから書き換えればhiddenからだって0を送れます。prefectureのほうも改ざん可能です。
+「keyが存在したら」とう観点ならisset()でも良いのですけど、
 prefectureの方もですが、[filter_input()](https://www.php.net/manual/ja/function.filter-input.php)の利用を強くすすめます。
 ```php
@@ -67,8 +69,17 @@
 }
 ```
+蛇足１：
+流れは入力→確認画面→完了でしょうか。
+hiddenに保持した場合、先に書いたようにブラウザのデベロッパーツールから値や内容を改ざんできるので、
+セッションに保持したほうが良いです。
+なんでもかんでも送れてはいけないので、バリデーションも入れましょう。
-蛇足：
+蛇足２：
+XSSが可能な作りになっています。
+「そもそもXSSとは」というところを調べたうえで適切に対応してください。
+蛇足３：
 性別の選択って結構センシティブなものなので、
 学習中かもしれませんが、今後のことも加味してある程度気にされたほうが良いです。
 [ダイバーシティ時代に「性別を選択する」ということ](https://about.yahoo.co.jp/info/blog/20180613/diversity.html)