人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

解決した場合は1000ポイント贈呈します。
http://ryu669.sakura.ne.jp/qes1
上記URLのhtmlファイルのソースにtest1.htmlとtest2.phpがあります。
このtest1.htmlとtest2.phpをサーバーにアップしデータベースにnameとcomment、日時の登録をしようとしますが、日時は入りますが、nemeとcommentが登録
されません。文字化けも考慮して入力は半角英数で行いました。
nameはvarchar(40) , commentはtext 日時はtimestampのデータ型です。
作成PHPのバージョンはPHP4、データベースはPostgresql8.1, PHP5.3です。
文字コードはPostgresqlはUTF?8、PHP、htmlファイルはUTF?8にしました。携帯電話でも入力可能にしたいです。
今回データ表示用のphpファイルは省いてあります。確認はデータベースを直接見て確認しています。原因わかる方お願いします。


●質問者: lonly777
●カテゴリ:インターネット ウェブ制作
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● Cherenkov
●500ポイント
<html>
<head>
<title>insert</title>
</head>
<body bgcolor="#ffffff" text="#555555">
<?php
$db_con = pg_connect("dbname=bbs1 port=5432 host=localhost user= password= ");
if ($db_con == false){
print("接続できませんでした。"); 
exit; 
}

$name = pg_escape_string($_POST['name']); //追加
$comment = pg_escape_string($_POST['comment']); //追加
$sql = "insert into bbs_01 (name, comment, w_time) values ('$name', '$comment', '".date("Y/m/d h:i:s")."')";
 //sql文を$sqlにセット
$rs = pg_exec($db_con, $sql); //$sqlの実行結果を$rsにセット

if ($rs == false){
print("実行に失敗しました。"); 
exit; 
}
print("<tt>書き込みを入力しました。</tt>");
pg_freeresult($rs); 
pg_close($db_con); 
?>
</body>
</html>

Cherenkovさんのコメント
>|php| $name = $_POST['name']; $comment = $_POST['comment']; ||< を足しただけです。

Cherenkovさんのコメント
xssも考えて $name = pg_escape_string(htmlspecialchars($_POST['name'])); こうしたほうがいいかも

y-kawazさんのコメント
入力データにhtmlspecialcharsを入れるのは良くないのでやるなら保存時に、 $name = pg_escape_string($_POST['name']); としておいて、エスケープ処理は表示の際に実行スべきかと。 &lt;?=htmlspecialchars($name)?> のような感じに。

y-kawazさんのコメント
入力データをエスケープすることの害は「サニタイズ言うな」でぐぐると色々出てくるので目を通しておくと良いです。

lonly777さんのコメント
早々とご指導ありがとうございます。

lonly777さんのコメント
近いうちにこのBBSのツリーBBSについて質問するかもしれません。そのときはまたよろしくお願いいたします。

2 ● y-kawaz
●500ポイント ベストアンサー

質問者の元のコードは register_globals=On を前提としたコードですね。
register_globalsはセキュリティ上問題がある為、PHP5.3からデフォルトでOffになり、更にPHP5.4では設定項目自体が無くなって今後利用できなくなる機能です。
http://www.php.net/manual/ja/ini.core.php#ini.register-globals
対応方法は Cherenkov さんの回答にある通り、$_POSTや$_GETや$_REQUESTから取得することです。

あと、それ以外にもう1点。セキュリティ上の問題があります。外部からの入力をそのままSQLに使ってしまっている為、SQLインジェクションが出来てしまいます。
例えば comment=',now());delete from bbs_01;-- というリクエストが投げられると全てのデータが消されてしまいます。
正しい対応はプレースホルダを使うことです。以下がプレースホルダを使ったサンプルです。

<?php //前略
$rs = pg_query_params(
 $db_con,
 "insert into bbs_01 (name, comment, w_time) values ($1, $2, $3)",
 array($_REQUEST['name'], $_REQUEST['comment'], date("Y/m/d h:i:s"))
);

外部からの入力データ中をそのままSQLに使うのは論外ですが、データ中のシングルクオート等を自力でエスケープするようなことも正しく行うのも難しいのでやめてください、SQLにデータを渡すときは必ずプレースホルダを使うことを憶えて下さい。
pg_connectではなく今後PDO等を使うことがあるかもしれません。SQLを直接実行する仕組みには必ず、プレースホルダの利用法があるはずなので、調べて探してでも必ずプレースホルダを使うようにして下さい。これはPHPに限った話ではありません。


パパトモさんのコメント
プレースホルダは必須だと思います。

lonly777さんのコメント
たいへん勉強になりました。ありがとうございます。

lonly777さんのコメント
近いうちにこのBBSのツリーBBSについて質問するかもしれません。そのときはまたよろしくお願いいたします。

3 ● tomoya61
●0ポイント

例えば comment=',now());delete from bbs_01;-- とリクエストが区ると全てのデータが消されてしまいます。
正しい対応はプレースホルダを使うことです。以下がプレースホルダを使ったサンプルでーす。

関連質問

●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ