HTML CSS JAVASCRIPT SQL PYTHON PHP HOW TO W3.CSS JAVA JQUERY C++ R React
ภาษาไทย Afrikaans العربية čeština Deutsch Español Français हिन्दी Bahasa Indonesia Italiano 日本語 한국어 မြန်မာဘာသာ Nederlands Polski Português Русский Türkçe Tiếng Việt

PHPチュートリアル

PHPホーム PHPイントロ PHPインストール PHP構文 PHPコメント PHP変数
変数 変数スコープ
PHPエコー/印刷 PHPデータ型 PHP文字列 PHP番号 PHP数学 PHP定数 PHP演算子 PHP If ... Else ... Elseif PHPスイッチ PHPループ
ループ Whileループ ループ中 Forループ Foreachループ 休憩/続行
PHP関数 PHP配列
配列 インデックス付き配列 連想配列 多次元配列 配列の並べ替え
PHPスーパーグローバル
スーパーグローバル $ GLOBALS $_SERVER $_REQUEST $_POST $_GET
PHP正規表現

PHPフォーム

PHPフォーム処理 PHPフォームの検証 PHPフォームが必要 PHPフォームのURL / Eメール PHPフォームの完了

PHP Advanced

PHPの日付と時刻 PHPインクルード PHPファイルの処理 PHPファイルのオープン/読み取り PHPファイルの作成/書き込み PHPファイルのアップロード PHPクッキー PHPセッション PHPフィルター PHPフィルターアドバンスト PHPコールバック関数 PHP JSON PHPの例外

PHPOOP _

PHPOOPとは PHPクラス/オブジェクト PHPコンストラクター PHPデストラクタ PHPアクセス修飾子 PHPの継承 PHP定数 PHP抽象クラス PHPインターフェース PHPの特性 PHP静的メソッド PHPの静的プロパティ PHP名前空間 PHPIterables

MySQLデータベース

MySQLデータベース MySQLコネクト MySQL Create DB MySQLテーブルの作成 MySQLの挿入データ MySQLは最後のIDを取得します MySQL Insert Multiple MySQLを準備しました MySQL Select Data MySQL Where MySQL Order By MySQLデータの削除 MySQLアップデートデータ MySQL制限データ

PHP XML

PHPXMLパーサー PHPSimpleXMLパーサー PHPSimpleXML-取得 PHP XMLExpat PHP XML DOM

PHP -AJAX

AJAXイントロ AJAX PHP AJAXデータベース AJAX XML AJAXライブ検索 AJAXポール

PHPの

PHPの例 PHPコンパイラ PHPクイズ PHP演習 PHP証明書

PHPリファレンス

PHPの概要 PHP配列
array() array_change_key_case() array_chunk() array_column() array_combine() array_count_values() array_diff() array_diff_assoc() array_diff_key() array_diff_uassoc() array_diff_ukey() array_fill() array_fill_keys() array_filter() array_flip() array_intersect() array_intersect_assoc() array_intersect_key() array_intersect_uassoc() array_intersect_ukey() array_key_exists() array_keys() array_map() array_merge() array_merge_recursive() array_multisort() array_pad() array_pop() array_product() array_push() array_rand() array_reduce() array_replace() array_replace_recursive() array_reverse() array_search() array_shift() array_slice() array_splice() array_sum() array_udiff() array_udiff_assoc() array_udiff_uassoc() array_uintersect() array_uintersect_assoc() array_uintersect_uassoc() array_unique() array_unshift() array_values() array_walk() array_walk_recursive() arsort() asort() compact() count() current() each() end() extract() in_array() key() krsort() ksort() list() natcasesort() natsort() next() pos() prev() range() reset() rsort() shuffle() sizeof() sort() uasort() uksort() usort()
PHPカレンダー
cal_days_in_month() cal_from_jd() cal_info() cal_to_jd() easter_date() easter_days() frenchtojd() gregoriantojd() jddayofweek() jdmonthname() jdtofrench() jdtogregorian() jdtojewish() jdtojulian() jdtounix() jewishtojd() juliantojd() unixtojd()
PHPの日付
checkdate() date_add() date_create_from_format() date_create() date_date_set() date_default_timezone_get() date_default_timezone_set() date_diff() date_format() date_get_last_errors() date_interval_create_from_date_string() date_interval_format() date_isodate_set() date_modify() date_offset_get() date_parse_from_format() date_parse() date_sub() date_sun_info() date_sunrise() date_sunset() date_time_set() date_timestamp_get() date_timestamp_set() date_timezone_get() date_timezone_set() date() getdate() gettimeofday() gmdate() gmmktime() gmstrftime() idate() localtime() microtime() mktime() strftime() strptime() strtotime() time() timezone_abbreviations_list() timezone_identifiers_list() timezone_location_get() timezone_name_from_abbr() timezone_name_get() timezone_offset_get() timezone_open() timezone_transitions_get() timezone_version_get()
PHPディレクトリ
chdir() chroot() closedir() dir() getcwd() opendir() readdir() rewinddir() scandir()
PHPエラー
debug_backtrace() debug_print_backtrace() error_get_last() error_log() error_reporting() restore_error_handler() restore_exception_handler() set_error_handler() set_exception_handler() trigger_error()
PHP例外
Exception() getCode() getFile() getMessage() getLine() getPrevious() getTrace() getTraceAsString()
PHPファイルシステム
basename() chgrp() chmod() chown() clearstatcache() copy() delete() dirname() disk_free_space() disk_total_space() diskfreespace() fclose() feof() fflush() fgetc() fgetcsv() fgets() fgetss() file() file_exists() file_get_contents() file_put_contents() fileatime() filectime() filegroup() fileinode() filemtime() fileowner() fileperms() filesize() filetype() flock() fnmatch() fopen() fpassthru() fputcsv() fputs() fread() fscanf() fseek() fstat() ftell() ftruncate() fwrite() glob() is_dir() is_executable() is_file() is_link() is_readable() is_uploaded_file() is_writable() is_writeable() lchgrp() lchown() link() linkinfo() lstat() mkdir() move_uploaded_file() parse_ini_file() parse_ini_string() pathinfo() pclose() popen() readfile() readlink() realpath() realpath_cache_get() realpath_cache_size() rename() rewind() rmdir() set_file_buffer() stat() symlink() tempnam() tmpfile() touch() umask() unlink()
PHPフィルター
filter_has_var() filter_id() filter_input() filter_input_array() filter_list() filter_var() filter_var_array()
PHP FTP
ftp_alloc() ftp_cdup() ftp_chdir() ftp_chmod() ftp_close() ftp_connect() ftp_delete() ftp_exec() ftp_fget() ftp_fput() ftp_get() ftp_get_option() ftp_login() ftp_mdtm() ftp_mkdir() ftp_mlsd() ftp_nb_continue() ftp_nb_fget() ftp_nb_fput() ftp_nb_get() ftp_nb_put() ftp_nlist() ftp_pasv() ftp_put() ftp_pwd() ftp_quit() ftp_raw() ftp_rawlist() ftp_rename() ftp_rmdir() ftp_set_option() ftp_site() ftp_size() ftp_ssl_connect() ftp_systype()
PHP JSON
json_decode() json_encode()
PHPキーワード
abstract and as break callable case catch class clone const continue declare default do echo else elseif empty enddeclare endfor endforeach endif endswitch extends final finally fn for foreach function global if implements include include_once instanceof insteadof interface isset list namespace new or print private protected public require require_once return static switch throw trait try use var while xor yield yield from
PHP Libxml
libxml_clear_errors() libxml_disable_entity_loader() libxml_get_errors() libxml_get_last_error() libxml_set_external_entity_loader() libxml_set_streams_context() libxml_use_internal_errors()
PHPメール
ezmlm_hash() mail()
PHP数学
abs() acos() acosh() asin() asinh() atan() atan2() atanh() base_convert() bindec() ceil() cos() cosh() decbin() dechex() decoct() deg2rad() exp() expm1() floor() fmod() getrandmax() hexdec() hypot() intdiv() is_finite() is_infinite() is_nan() lcg_value() log() log10() log1p() max() min() mt_getrandmax() mt_rand() mt_srand() octdec() pi() pow() rad2deg() rand() round() sin() sinh() sqrt() srand() tan() tanh()
PHPその他
connection_aborted() connection_status() connection_timeout() constant() define() defined() die() eval() exit() get_browser() __halt_compiler() highlight_file() highlight_string() hrtime() ignore_user_abort() pack() php_strip_whitespace() show_source() sleep() sys_getloadavg() time_nanosleep() time_sleep_until() uniqid() unpack() usleep()
PHP MySQLi
affected_rows autocommit change_user character_set_name close commit connect connect_errno connect_error data_seek debug dump_debug_info errno error error_list fetch_all fetch_array fetch_assoc fetch_field fetch_field_direct fetch_fields fetch_lengths fetch_object fetch_row field_count field_seek get_charset get_client_info get_client_stats get_client_version get_connection_stats get_host_info get_proto_info get_server_info get_server_version info init insert_id kill more_results multi_query next_result options ping poll prepare query real_connect real_escape_string real_query reap_async_query refresh rollback select_db set_charset set_local_infile_handler sqlstate ssl_set stat stmt_init thread_id thread_safe use_result warning_count
PHPネットワーク
checkdnsrr() closelog() dns_check_record() dns_get_mx() dns_get_record() fsockopen() gethostbyaddr() gethostbyname() gethostbynamel() gethostname() getmxrr() getprotobyname() getprotobynumber() getservbyname() getservbyport() header_register_callback() header_remove() header() headers_list() headers_sent() http_response_code() inet_ntop() inet_pton() ip2long() long2ip() openlog() pfsockopen() setcookie() setrawcookie() socket_get_status() socket_set_blocking() socket_set_timeout() syslog()
PHP出力制御
flush() ob_clean() ob_end_clean() ob_end_flush() ob_flush() ob_get_clean() ob_get_contents() ob_get_flush() ob_get_length() ob_get_level() ob_gzhandler() ob_implicit_flush() ob_list_handlers() ob_start() output_add_rewrite_var() output_reset_rewrite_vars()
PHP正規表現
preg_filter() preg_grep() preg_last_error() preg_match() preg_match_all() preg_replace preg_replace_callback preg_replace_callback_array preg_split preg_quote
PHP SimpleXML
__construct() __tostring() addAttribute() addChild() asXML() attributes() children() count() getDocNamespaces() getName() getNamespaces() registerXPathNamespace() saveXML() simplexml_import_dom() simplexml_load_file() simplexml_load_string() xpath()
current() getchildren() haschildren() key() next() rewind() valid()
PHPストリーム PHP文字列
addcslashes() addslashes() bin2hex() chop() chr() chunk_split() convert_cyr_string() convert_uudecode() convert_uuencode() count_chars() crc32() crypt() echo() explode() fprint() get_html_translation_table() hebrev() hebrevc() hex2bin() html_entity_decode() htmlentities() htmlspecialchars_decode() htmlspecialchars() implode() join() lcfirst() levenshtein() localeconv() ltrim() md5() md5_file() metaphone() money_format() nl_langinfo() nl2br() number_format() ord() parse_str() print() printf() quoted_printable_decode() quoted_printable_encode() quotemeta() rtrim() setlocale() sha1() sha1_file() similar_text() soundex() sprintf() sscanf() str_getcsv() str_ireplace() str_pad() str_repeat() str_replace() str_rot13() str_shuffle() str_split() str_word_count() strcasecmp() strchr() strcmp() strcoll() strcspn() strip_tags() stripcslashes() stripslashes() stripos() stristr() strlen() strnatcasecmp() strnatcmp() strncasecmp() strncmp() strpbrk() strpos() strrchr() strrev() strripos() strrpos() strspn() strstr() strtok() strtolower() strtoupper() strtr() substr() substr_compare() substr_count() substr_replace() trim() ucfirst() ucwords() vfprintf() vprintf() vsprintf() wordwrap()
PHP変数の処理
boolval() debug_zval_dump() doubleval() is_countable() empty() floatval() get_defined_vars() get_resource_type() gettype() intval() is_array() is_bool() is_callable() is_double() is_float() is_int() is_integer() is_iterable() is_long() is_null() is_numeric() is_object() is_real() is_resource() is_scalar() is_string() isset() print_r() serialize() settype() strval() unserialize() unset() var_dump() var_export()
PHPXMLパーサー
utf8_decode() utf8_encode() xml_error_string() xml_get_current_byte_index() xml_get_current_column_number() xml_get_current_line_number() xml_get_error_code() xml_parse() xml_parse_into_struct() xml_parser_create_ns() xml_parser_create() xml_parser_free() xml_parser_get_option() xml_parser_set_option() xml_set_character_data_handler() xml_set_default_handler() xml_set_element_handler() xml_set_end_namespace_decl_handler() xml_set_external_entity_ref_handler() xml_set_notation_decl_handler() xml_set_object() xml_set_processing_instruction_handler() xml_set_start_namespace_decl_handler() xml_set_unparsed_entity_decl_handler()
PHP Zip
zip_close() zip_entry_close() zip_entry_compressedsize() zip_entry_compressionmethod() zip_entry_filesize() zip_entry_name() zip_entry_open() zip_entry_read() zip_open() zip_read()
PHPタイムゾーン

PHPフォームの検証

❮ 前 次 ❯

この章と次の章では、PHPを使用してフォームデータを検証する方法を示します。

PHPフォームの検証

PHPフォームを処理するときは、セキュリティを考慮してください。

これらのページでは、セキュリティを念頭に置いてPHPフォームを処理する方法を説明します。フォームをハッカーやスパマーから保護するには、フォームデータを適切に検証することが重要です。

これらの章で使用するHTMLフォームには、さまざまな入力フィールドが含まれています。必須およびオプションのテキストフィールド、ラジオボタン、および送信ボタンです。

上記のフォームの検証ルールは次のとおりです。

Field Validation Rules
Name Required. + Must only contain letters and whitespace
E-mail Required. + Must contain a valid email address (with @ and .)
Website Optional. If present, it must contain a valid URL
Comment Optional. Multi-line input field (textarea)
Gender Required. Must select one

まず、フォームのプレーンHTMLコードを確認します。

テキストフィールド

名前、電子メール、およびWebサイトのフィールドはテキスト入力要素であり、コメントフィールドはテキストエリアです。HTMLコードは次のようになります。

Name: <input type="text" name="name">
E-mail: <input type="text" name="email">
Website: <input type="text" name="website">
Comment: <textarea name="comment" rows="5" cols="40"></textarea>

ラジオボタン

性別フィールドはラジオボタンであり、HTMLコードは次のようになります。

Gender:
<input type="radio" name="gender" value="female">Female
<input type="radio" name="gender" value="male">Male
<input type="radio" name="gender" value="other">Other

フォーム要素

フォームのHTMLコードは次のようになります。

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

フォームが送信されると、フォームデータはmethod = "post"で送信されます。

$ _SERVER ["PHP_SELF"]変数とは何ですか?

$ _SERVER ["PHP_SELF"]は、現在実行中のスクリプトのファイル名を返すスーパーグローバル変数です。

したがって、$ _ SERVER ["PHP_SELF"]は、別のページにジャンプするのではなく、送信されたフォームデータをページ自体に送信します。このようにして、ユーザーはフォームと同じページにエラーメッセージを表示します。

htmlspecialchars()関数とは何ですか?

htmlspecialchars()関数は、特殊文字をHTMLエンティティに変換します。これは、<や>などのHTML文字を&lt;に置き換えることを意味します。および&gt;。これにより、攻撃者がHTMLまたはJavascriptコード(クロスサイトスクリプティング攻撃)をフォームに挿入してコードを悪用するのを防ぎます。

PHPフォームセキュリティに関するビッグノート

$ _SERVER ["PHP_SELF"]変数は、ハッカーが使用できます。

ページでPHP_SELFが使用されている場合、ユーザーはスラッシュ(/)を入力してから、いくつかのクロスサイトスクリプティング(XSS)コマンドを入力して実行できます。

クロスサイトスクリプティング(XSS)は、Webアプリケーションに通常見られる一種のコンピューターセキュリティの脆弱性です。XSSを使用すると、攻撃者は他のユーザーが表示するWebページにクライアント側のスクリプトを挿入できます。

「test_form.php」という名前のページに次のフォームがあるとします。

<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">

これで、ユーザーが「http://www.example.com/test_form.php」のようなアドレスバーに通常のURLを入力すると、上記のコードは次のように変換されます。

<form method="post" action="test_form.php">

ここまでは順調ですね。

ただし、ユーザーがアドレスバーに次のURLを入力することを考慮してください。

http://www.example.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

この場合、上記のコードは次のように変換されます。

<form method="post" action="test_form.php/"><script>alert('hacked')</script>

このコードは、スクリプトタグとアラートコマンドを追加します。また、ページが読み込まれると、JavaScriptコードが実行されます(ユーザーにはアラートボックスが表示されます)。これは、PHP_SELF変数を悪用する方法の単純で無害な例です。

<script>タグ内にJavaScriptコードを追加できることに注意してください。ハッカーはユーザーを別のサーバー上のファイルにリダイレクトでき、そのファイルには、グローバル変数を変更したり、フォームを別のアドレスに送信してユーザーデータを保存したりする悪意のあるコードが含まれている可能性があります。

$ _SERVER ["PHP_SELF"]のエクスプロイトを回避する方法は?

$ _SERVER ["PHP_SELF"]の悪用は、htmlspecialchars()関数を使用することで回避できます。

フォームコードは次のようになります。

<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

htmlspecialchars()関数は、特殊文字をHTMLエンティティに変換します。これで、ユーザーがPHP_SELF変数を悪用しようとすると、次の出力になります。

<form method="post" action="test_form.php/&quot;&gt;&lt;script&gt;alert('hacked')&lt;/script&gt;">

エクスプロイトの試みは失敗し、害はありません。

PHPでフォームデータを検証する

最初に行うことは、PHPのhtmlspecialchars()関数を介してすべての変数を渡すことです。

htmlspecialchars()関数を使用する場合。次に、ユーザーがテキストフィールドに以下を送信しようとした場合:

<script> location.href( 'http://www.hacked.com')</ script>

-これは、次のようにHTMLエスケープコードとして保存されるため、実行されません。

&lt; script&gt; location.href( 'http://www.hacked.com')&lt; / script&gt;

これで、コードをページまたは電子メール内に安全に表示できるようになりました。

また、ユーザーがフォームを送信すると、さらに2つのことが行われます。

  1. ユーザー入力データから不要な文字(余分なスペース、タブ、改行)を削除します(PHPのtrim()関数を使用)
  2. ユーザー入力データから円記号(\)を削除します(PHPのstripslashes()関数を使用)

次のステップは、すべてのチェックを実行する関数を作成することです(これは、同じコードを何度も書くよりもはるかに便利です)。

関数にtest_input()という名前を付けます。

これで、test_input()関数を使用して各$ _POST変数を確認でき、スクリプトは次のようになります。

<?php
// define variables and set to empty values
$name = $email = $gender = $comment = $website = "";

if ($_SERVER["REQUEST_METHOD"] == "POST") {
  $name = test_input($_POST["name"]);
  $email = test_input($_POST["email"]);
  $website = test_input($_POST["website"]);
  $comment = test_input($_POST["comment"]);
  $gender = test_input($_POST["gender"]);
}

function test_input($data) {
  $data = trim($data);
  $data = stripslashes($data);
  $data = htmlspecialchars($data);
  return $data;
}
?>

スクリプトの開始時に、フォームが$ _SERVER ["REQUEST_METHOD"]を使用して送信されたかどうかを確認することに注意してください。REQUEST_METHODがPOSTの場合、フォームは送信されています-検証する必要があります。まだ送信されていない場合は、検証をスキップして空白のフォームを表示してください。

ただし、上記の例では、すべての入力フィールドはオプションです。ユーザーがデータを入力しなくても、スクリプトは正常に機能します。

次のステップは、入力フィールドを必須にし、必要に応じてエラーメッセージを作成することです。


❮ 前 次 ❯