【PHP】下らねぇ質問はここに 9

2017/12/20(水) 18:00:20.28

PHPに関する質問スレです

前スレ
【PHP】下らねぇ質問はここに書き込みやがれ 8
http://mevius.5ch.net/test/read.cgi/tech/1489506082/

次スレは>>980以降
本文の1行目に以下を追加すること
!extend:on:vvvvv:1000:512

VIPQ2_EXTDAT: default:vvvvv:1000:512:----: EXT was configured

2018/04/30(月) 17:20:23.74

よく知らないけど、5年以上前のフレームワークってセキュリティ的にどうなの

2018/05/01(火) 05:57:16.67

使い道あるの？

2018/05/04(金) 18:08:52.10

FastCGIで動かす時にアプリケーション初期化のコードは最初の1回だけ実行したい
というより予め実行済みの状態でリクエストを待機させたいんだけど、どうすればいいの？

2018/05/05(土) 02:10:31.22

ファイルを file_get_contens() や file_pet_contents で読み書きしたいんですが
ロックってどうすればいいんでしょうか
flockにファイルディスクリプタが必要みたいなんですけど
それを使って与密会するわけじゃないのでRD_ONLYで開いてもいいんでしょうか

$fp = fopen($filename, 'r');
if (flock($fp, LOCK_EX)) {
file_get_contents($filename);
～
file_putt_contents($filename);
flock($fp, LOCK_UN)
}

でうごきますか？

ロックファイルはわける必要がありますか？
ロックがぶつかるケースをデバッグできないので大丈夫なのかどうかがよくわかりません

2018/05/05(土) 02:45:58.52

てす

2018/05/05(土) 05:47:07.80

$fp = fopen($filename, 'c+');
if (flock($fp, LOCK_EX)) {
$buf = '';
while ($tmp = fread($fp, 1024)) {
$buf .= $tmp;
}
rewind($fp);
ftruncate($fp, 0);
fwrite($fp, $buf.$buf);
flock($fp, LOCK_UN)
}

2018/05/05(土) 15:07:11.64

スマホ向けに下記をhtmlのheadに書いた場合は、スマホの横サイズいっぱいで折り返し表示されますが、
<meta name="viewport" content="width=device-width,initial-scale=1" />

php埋め込みhtml（拡張子はphp）に上記を書いても折り返してくれません。

他に何かお作法が必要でしょうか？

2018/05/05(土) 17:46:10.93

文字コード周りに問題がなければ
PHPで出力したHTMLのソースを表示してみてオリジナルのHTMLと対比してみては？
エスケープミスでタグが閉じられてない状態で出力されてるとかそんなレベルかもしれない
サーバ側で関連ヘッダーを出力しちゃってる可能性もあるので
理解出来るならブラウザの開発者ツール使ってHTTPヘッダの中身チェックするといい

なんにせよ再現できる全体ソースが出ないことには答えようがない

2018/05/05(土) 18:17:23.60

>>186
原因が分かりました。
変数に改行（\n）付きの長いメッセージを入れてあり、それを表示するのにpreタグ
で囲っていたのが原因でした。

preタグを使わずに改行付きの長いメッセージを表示する方法を考えてみたいと思います。

どうもありがとうございました。

2018/05/05(土) 18:24:56.30

連投すみません。
nl2brを使えばすぐでしたね。
初歩的なことですみませんでした。

2018/05/05(土) 21:35:48.44

>>184
やっぱりロックとる場合はロックをとったファイルディスクリプタに
fread, fwriteで読み書きする必要があるんですね
コード参考にさせていただきます
ありがとうございました

2018/05/06(日) 01:38:07.25

プログラムの基本を教えてください。

一つのphpファイルが300行をオーバーしてしまったから、汎用性はないけど一まとまりの機能があって、色んな所から呼び出す処理を別のphpファイルにしてインクルードで呼び出す、
という形で小分けにしていこうと思ってますが、そんな風にバラバラにしてしまってもいいんでしょうか？

2018/05/06(日) 06:09:15.48

その考えの行きつく先にオブジェクト指向があるのでオブジェクト指向入門するといいかな
方向性としてはあってるのでとりあえずは思った通りにやってみては？
あと行数に関していえば1万行クラスのソースコードはざらなので（半分はコメントだったりするけど）
長い行数になったときのソースコードの管理の仕方をIDE使って覚えていくといいよ

2018/05/06(日) 06:33:20.08

>>191
返信ありがとうございます。1万行はぞっとします。とりあえずはこの方向性で行きたいと思います。

2018/05/07(月) 18:56:32.81

>>189
ファイルロックについてはその通り
stream_get_contents()を使うと>>184よりはもう少しスッキリ書けるかと

**デフォルトの名無しさん** (JP 0Hb6-a7mP) · 2018/05/08(火) 19:09:31.56

関数の呼び出しがあっているのかわかりません

ボタンでCreateとLikesの処理をわけたいんですが、うまく実行できません

（ボタンの処理は別のPHPファイルに書いてます）

create_qaとUpdate_likes_whenbuttonClickは、単体であれば実行ができているのはわかっているのですが、振り分けるためのbutton_Click関数に入れた途端動かなくなります
returnで、振り分けそのものができていることは確認しました（IDを表示することができたので、問題がないかと思っています）
何か間違っていそうか分かる人教えて下さい

public function button_click(Request $request,$session_id){
if(isset($_POST["create"])){
$this->create_qa($request,$session_id);
}
else if(isset($_POST["likes"])){
//return $session_id; これはできてる
$this->update_likes_whenbuttonClick($request,$session_id);
}
}

2018/05/08(火) 20:30:36.78

エラーログは読んだの？
超能力者じゃない限りソースだけ貼られても分からんよ

2018/05/08(火) 21:06:53.22

>>195

errorが全くでなくて、むしろ真っ白なページが表示されます・・・
関数単体だときちんとreturn viewしたページに飛んで、処理もできているのに、こっちだとできないです

2018/05/08(火) 21:11:07.16

>>194
elseまで流れてるとか

2018/05/08(火) 21:22:37.44

>>197
return でelse以降に入ると数値が表示させるようにして確認しましたが、今のところ流れてはなさそうです
分岐を一切作らずに
$this->create_qa($request,$session_id);
だけ入れてもおかしなことになるので、
$this->～～～っていう表記が間違っているような気がするのですが何がおかしいのか全く分からず・・・

2018/05/08(火) 21:33:50.33

>>198
簡単な別のメソッドを作って呼び出せるか試してみたら

2018/05/08(火) 21:46:05.47

>>199

引数なし、return0をするだけの別の関数を作って、同じように呼び出しをしてみましたがだめでした、
やっぱりthis～の行が何かしら影響を及ぼしてるようです・・・

2018/05/08(火) 22:12:48.09

error_logでファイルにエラー吐いてないのか？
画面出力はエラー出力でHTTPヘッダとか壊れてまともにならんことも多いぞ

2018/05/08(火) 22:27:49.92

>>201
ためしにエラー出力してみましたが、全く何もでてないようで・・・

2018/05/08(火) 22:40:25.33

>>194
ですが解決しました！
分岐文の内部でreturn viewができてないのが原因でした
すみませんお騒がせしました

2018/05/09(水) 00:23:01.03

変数の＄～～の＄ってなんて読むの？？
ドルなんとかって読んでるんだけど間違い？

2018/05/16(水) 06:54:52.26

文字列全体を正規表現判定するのってどうすればいいんですか？

入力に不正文字がないかチェックしたいんですけど

pregmatch('/[0-9a-zA-Z]+/', $input)

だと一部にマッチしてもtrueになっちゃうので
文字列全体で数字アルファベットしか使われてないことを確認したいです

2018/05/16(水) 07:46:14.68

^[0-9a-zA-Z]+$
そういう単純なものは正規表現使うまでもなく
他の関数が用意されてると思ったほうがいい
http://php.net/manual/ja/ref.ctype.php

2018/05/16(水) 07:53:08.47

ctype_alnumを使えばいいんですね
ありがとうございました！

2018/05/16(水) 08:02:56.78

あとPHPの配列についてききたいんですけど

a[] = 2;
a[] = 4;

や array(2,4) でつくった場合Cやjavaの配列と同じくメモリ上にvalueだけがならんで
a[1] でアクセスした場合アドレス計算でアクセスされるんでしょうか？

それとも自動的に連想配列になって '1' っていう key を検索するんでしょうか？

メモリにははいるけどキャッシュにははいらないそこそこ大きなテーブルデータを扱ってるので気になりました

2018/05/23(水) 19:27:20.90

僕の知り合いの知り合いができたパソコン一台でお金持ちになれるやり方
役に立つかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法　モニアレフヌノ』

Q3682

2018/05/24(木) 10:46:13.86

Q3682

2018/05/24(木) 16:05:36.14

114.149.223.252

2018/05/31(木) 15:22:43.39

参考書を1ページずつjpgに自炊スキャンしましたが
今あるjpgの奇数ページと偶数ページをくっつけて見開きページの画像にして保存したいと考えました、phpの画像処理ライブラリは
GD
DmImage
ImageMagick
等があるみたいですが
手軽にできるのはどれですか？

2018/06/01(金) 00:15:25.87

そんなのどれ使っても手軽だろw
こんなところに書いて待ってる間に処理一つくらい書けるし、
まずは分かりやすそうなのどれか一つ使って書いてみればいい

2018/06/04(月) 11:58:13.68

どれもベースがGD
GDに皮をかぶせて使いやすくしたものだが皮の厚さが違う

2018/06/07(木) 16:51:32.87

初心者です。。

Class hoge {
public static function aaa (){
echo __CLASS__;
}
public function __construct (){
static::aaa();
}
}
Class piyo extends hoge {}
$var = new piyo();
//hoge
みたいなコンストラクタの中でstaticつけて関数呼び出すのってどういう意味が有るのですか…

static::hogehoge($this);みたいなのがコンストラクタのなかにあるのって
どういうふうに動いてるのかわからないです。

2018/06/07(木) 17:08:53.75

>>215
遅延静的束縛
http://php.net/manual/ja/language.oop5.late-static-bindings.php

2018/06/07(木) 17:37:17.26

>>216
遅延的束縛がわからんのです。
コンストラクタの中でやってるからpiyoにならないのかな
static $piyo;
public function __construct(){
static::hoge($this);
}
public static function hoge($this){
return static::piyo = $this;
}

みたいなのときとかもうわけわからん

2018/06/07(木) 17:38:09.15

static::$piyoですね

2018/06/07(木) 18:19:33.09

>>217
まんま>>216のマニュアルに書いてあるんだけど読んだの？

2018/06/07(木) 19:00:51.08

>>219
書いてある？
あんまりインスタンス化して使ってるような例ないぽいけど

2018/06/07(木) 23:45:31.41

>>217はClass Hogeとして
$aho = new Hoge()とするとインスタンス化した時にHogeの静的プロパティも初期化されるってことだよね。staticとparentがチェーンしてると訳わからんくなる

2018/06/07(木) 23:53:42.93

Hogeを継承したpooクラスがあったらpooクラスのstaticプロパティも初期化されるけどselfとどう違うのかわからん。。

2018/06/10(日) 00:33:54.58

トランプゲームみたいな感じで写真の入ってるカードを並べ替えさせるゲームを作ろうと思っています。

カードはドラッグして移動可能。
所定の□の近くにくるとカードは□に収まる

こういったことを簡単に実現できるおすすめの言語があったら教えてください。
使ったことのある言語はCとC#だけです。

2018/06/10(日) 01:34:40.62

なぜPHPのスレで聞くのか？
てか、ハブリッシュするプラットフォームに依存する話しだから
それを言わないとだれも答えられない
ロジックだけ実装するならどんな言語でも作れる

2018/06/10(日) 06:39:55.08

>>224
すいません。
スレタイ読み違えて誤爆しました・・・。

2018/06/20(水) 05:45:13.05

フォームで受け取ったデータをそのままディレクトリ名にしたいんですけど
ディレクトリ名に使われて危険な文字をはじく関数みたいなのってないですか？
. と / だけはじけば大丈夫なのかな

2018/06/20(水) 08:36:32.28

入力できる文字を絞った方がいいよ
アルファベット数字のみとかにすれば一番無難
それ以外の文字が一文字でも入ってたらエラーで返す

2018/06/20(水) 17:19:49.17

なるほどー
ありがとうございます

2018/06/20(水) 18:06:03.26

ctype_alnumのおでましか

2018/07/02(月) 20:37:50.95

a.php が吐くHTMLに、b.php を差し込むSSIタグを埋めたところ、挙動がおかしい。
サーバは apache、PHPの出力に対してもSSIが効くように設定してある。
どうおかしいって、b.php 出力がSSIタグの位置からズレた場所に挿入され、しかもなんか断片化してる。
a.php と b.php の出力が混ざった感じというか、a.php と b.php が非同期に並行して動いてる感じというか。
a.php や b.php と同等の内容の a.html と b.html を用意し、a.html に b.php や b.html をSSIするケースや、a.php に b.html をSSIするケースでは問題無く、a.php に b.php をSSIするケースだけでおかしい。
原因の心当たりって無い？

2018/07/02(月) 21:13:03.02

ツッコミどころだらけで笑うわ
* SSIはWebサーバの機能(スレ違い)
* その構成にする意味が分からない
* というかSSIってマジ？

2018/07/02(月) 21:16:52.40

SSIって10年以上ぶりに聞いた
なんでそんなトリッキーなことしてんだw

2018/07/02(月) 21:25:25.66

>>231
> * SSIはWebサーバの機能(スレ違い)
あぁ、それもそうだ。おっしゃる通り。
残りについては、そういう都合があるとしか言えない。
SSI もまじ。<!--#include ... のやつな。
いろんなもの SSI してるのよ。

2018/07/02(月) 21:37:55.31

SSIの時点でもうアレだけど更にPHPを絡められて試す気がなぁ

2018/07/02(月) 22:05:59.18

とりあえずApache側の設定か？
同期、非同期の問題ならpreforkとworkerで挙動変わるか試してみるとか
まあ、どっちにせよ激しくスレ違いな気がする

2018/07/04(水) 02:05:21.42

更新履歴～
みたいなページでSSI使ってたことはある
これはこれで便利やしトリッキー言うほどじゃないだろ

まあ今時としては、SSIみたいな挙動をするphpコード書くだけになるか

2018/07/04(水) 12:23:51.44

public function Hoge($hoge)
{
return function () use ($hoge) {
return $this->test_func($hoge);
};
}

こういうのって意味有りますか？
クロージャのとこに$hogeを持ってきても実際には繋がりはないように見えるんすけど
$var = Hoge($hoge)
//$var = function($bar){ return $this->test_func($bar);}

2018/07/04(水) 12:24:35.05

クロージャの$hogeと最初の引数の$hogeの繋がり

2018/07/04(水) 12:32:44.93

クロージャになっても最初に渡された$hogeは生きてるんやな。。
知らなかった

2018/07/04(水) 13:58:24.36

>>236
PHPを使ってるんだったら
SSIの<!--#include...に該当する処理は
取り込み対象をPHPのコードとして評価したいならinclude、
文字列として評価したいならfile_get_contets()するだけの
1行で済む話

SSIはサーバー環境依存だし今どきSSIが有効になってる古いサーバーを
これから先も使い続けるのか？という疑問もある

2018/07/04(水) 14:03:16.97

SSIってJavaScriptもiframeタグもブラウザ標準ではなかったそれこそ10年以上前の遺物よな

2018/07/04(水) 16:51:50.97

このゲーム面白すぎてずっとやってる
https://goo.gl/2UVYAA

2018/07/04(水) 21:46:16.37

CTP

2018/07/04(水) 21:48:15.59

メンテしているperlのサイトで確か使ってたな
phpで使おうと思うほど猛者じゃないので勘弁

2018/07/05(木) 16:22:58.50

CTP

2018/07/08(日) 17:52:24.96

PHPでerrnoを取得することはできますか？

やりたいことは、ファイルまたはディレクトリの有無を確認しつつ、
falseだった場合は、ENOENTなのかEACCESなのか知りたいのです。

file_existsとis_readableを組み合わせるしかないですか？

**230** (ﾜｯﾁｮｲ bfd5-Jsga) · 2018/07/08(日) 20:26:44.98

>>230
せっかくなので分かったことを報告。
SSI にせよ PHP の virtual にせよ apache のサブリクエストが発行される場合、元リクエストとサブリクエストのPHPのインスタンスは同一のものが使い回されるらしく、グローバル変数なんかは共通されるらしい。
恐らく define や include、出力バッファなんかも共有されてると思う。
それでいろいろ思いもよらない挙動を示すっぽい。

ということが分かったので、適当に回避した。
apacheの設定によるところもあるかもしれないけど、そこまで検証してない。

2018/07/08(日) 22:36:55.30

なんか普通の話だな
グローバル変数なんて使ってたらそんなの当たり前だろ

2018/07/09(月) 11:35:35.05

>>246
自己レスです。
ググってたら、それらしきものがありました。
非推奨などもなさそうで行けそうです。
http://php.net/manual/ja/function.posix-strerror.php

2018/07/09(月) 14:41:02.89

>>247
ユーザー定義のグローバル変数や名前空間をもたない定数なんかもう何年も使ったことないけど

2018/07/09(月) 16:51:13.69

よく分かってないので、スマソ。
モジュール版PHP5.3環境で動かしていたのを、

① モジュール版5.6環境に移行させる場合
② CGI版5.3環境に移行させる場合

①、②ともにソースコードの書き換えは必須なの？
また、簡単なのはどっち？

2018/07/09(月) 17:11:56.44

それだけじゃなんとも言えんよ…
エスパーでも答えられんと思われ
上の話と同じでグローバル変数とか使ってるとかなら書き換える必要あるかもね
使われてるモジュールやライブラリが対応してるかどうかもあるし
同じ環境を用意して実際に動かしてテストするしかないと思う

2018/07/09(月) 17:22:57.00

5.6でサポートやめたり、推奨からは図したりしたものがあれば
良くて警告、悪くて動作せずとなる
やってみないと分からないから、試験環境を作って試すのが最善

2018/07/09(月) 18:02:41.46

5.2.X⇒7.2.Xに以降した環境がいくつもあるけど
PHPコンパイルで何度かこけた（コアに取り込まれて使えなくなってるオプションがあった）ぐらいで
コードを手直しをした記憶が全くないなぁ

逆にどんな書き方をしてたら動かなくなるのやら…

2018/07/09(月) 18:09:44.47

開発を
error_reporting=E_ALL(PHP5.4以前ならE_ALL|E_STRICT)
でしてなかったりすると環境移行でエラー出まくったりするかもな
初心者はまずエラーを正しく出すところから学習しないとな

2018/07/10(火) 02:26:11.43

>>248
同じインスタンスで動くならそりゃそうだろって話だけど、virtual はともかく SSI が同じインスタンスで動かすのが当たり前かと言われれば微妙じゃね？
$_GET みたいなスーパーグローバルとかどうなっちゃうんだよって問題もあるし、実際出力バッファはまぜこぜになって使い物にならないわけだし。
わざわざ SSI でやるのなんて、他所の誰かが作った全く関係ないものを自分の処理と隔離してページ上に取り込みたいなんてケースだったりするわけで、隔離できないならあんまり意味が無いというか。
そういうものだということが分かってりゃやり方考えるからいいんだけど、なんでそうする？っていう仕様だと思う。
PHPそのものの問題じゃないであろうこと引っ張ってすまないけど。

2018/07/10(火) 12:06:55.09

前バージョンと同じように、必要なモジュール・ライブラリがロードされていて、
基本的な環境に差異がないのを前提とすれば、
あとは廃止変更された機能や関数が影響を受ける。
なので動かない場所が出てきて、書き換えが必要になる場合はあるが、
それはコードの1％にも満たないぐらいの量のはずだから、
大規模なアプリケーションでも書き換えに1日はかからないだろう。

2018/07/10(火) 16:01:47.12

>>256
＞他所の誰かが作った全く関係ないものを自分の処理と隔離してページ上に取り込みたい
SSIを使う理由になってないしSSI以外の知識がないだけ
サーバーの知識が多少ある人間なら今この時代にSSIを使うのがいかに馬鹿げているかすぐ分かる

2018/07/10(火) 16:24:53.40

SSIもhtaccessも無駄にサーバーに負荷をかけわ、遅いわ、セキュリティリスクの管理もしにくわで何１つ良いことないから無効にしろと大昔に教わったな
結構最近でもSSIインジェクションで資生堂の小会社がが情報漏えい起こしてたけど資生堂みたいな大きなところが未だにSSI使ってることに驚いた
includeしたいだけなら他にいくらでも代替案あるのにさ

2018/07/10(火) 16:34:05.74

SSIインジェクションやらかすようなやつはSQLインジェクションだってやらかしかねないんだから、それはSSIを使わない理由としては弱いでしょ。

2018/07/10(火) 16:43:24.55

素人だからよく分かんないんだけど
ssiでincludeするのとhtmlで<iframe> or phpでfile_get_contents するのは何が違うの？
ssiを使う理由って何？

2018/07/10(火) 17:02:12.57

>>261
旧来からのスタイルを踏襲しているとか、
SSIはPHP知らなくてもHTML(と言えるか微妙だが)分かれば使えるってのもあるかもね。
サイト全部がPHPじゃないし、みんながみんなPHP使えるわけじゃないからな。
PHP使うなら PHP の include しても file_get_contents しても、適用できるなら得られる結果は一緒でしょ。

2018/07/10(火) 18:15:06.82

>>261
使う理由は特にない

1.SSI/#include file|virtual="path"はpathの中身をそのまま取り込んだ結果を取り込んだ場所で出力する
2.<iframe src="url|local_path">は対象の出力をフレームとして取り込む
3.file_get_contents('url')はurlの出力を取り込む
4.file_get_contents('local_path')はlocal_pathの中身をそのまま取り込む
5.includeは対象を「PHPのコードとして評価する」

1 ≒ 2 ≒ 3 ≠ 4 ≠ 5
だと思っとけばいい
includeとfile_get_contents()が等価なんてのは大嘘なので信じないよう

SSIの#includeに該当する処理は、そのほとんどが<iframe>＋αで片付く程度の低レベルの事しかしてないね
繰り返すけど今更使う必要性は全くない過去の遺物です

2018/07/10(火) 18:40:58.20

>>263
詳しくありがとう

2018/07/10(火) 18:46:59.92

include と file_get_contents が等価だなんて言ってないぞ。
別のコンテンツを差し込む方法として適用できるケースがあると言ってるだけで。
例えばページのヘッダやらフッタやらを別ファイルに浮かせたとして、それが include できるなら include で、file_get_contents できるなら file_get_contents で差し込めるだろ。

2018/07/10(火) 18:59:01.25

>>265
＞ PHP使うなら PHP の include しても file_get_contents しても、適用できるなら得られる結果は一緒
一緒じゃないでしょって話だと思う
実際全然違うし

2018/07/10(火) 19:08:22.00

>>266
例えばただのHTMLファイルがあったとして、それを include した場合と file_get_contents 使って出力した場合とで得られる出力結果にどんな違いがあるの？
もちろんただのHTMLじゃないものを扱おうとすれば、得たい出力を得るために適用できないこともあるよ。
>>263 の PHPのコードとして評価するというのも語弊があると思うよ。
パースはテキストとして始まるわけだから。

2018/07/10(火) 19:24:15.15

初心者も見てるだろうから実例を出しとく

・test.php
------------
test
<?php
echo $a;
------------

2018/07/10(火) 19:25:00.51

・index.php
------------
<?php
$a = 'hoge';

var_dump(file_get_contents('./test.php'));
/*
test
<?php
echo $a;
*/

var_dump(file_get_contents('http://localhost/test.php'));
/*
test
Notice: Undefined variable: a in...($aが定義されていないというエラー)
*/

include './test.php';
/*
test
hoge
*/
------------

この違いを理解してるならこれ以上俺から言う事は何もない

2018/07/15(日) 17:40:24.73

PHPを勉強している者ですが、
PHPを使ってお問い合わせフォームを作る際に気を付けるべきセキュリティ対策についてのアドバイスをください。

メールの送信までの流れは「入力」→「確認」→「送信」となりました。

入力･･･入力される文字の制限（メールアドレスの欄なら使用可能な文字以外でエラー）
確認･･･出力の前にhtmlspicialchars()を使い無害化
送信･･･？

参考になるサイトや書籍のアドバイスなどもいただけると嬉しいです。
よろしくお願いします。

2018/07/16(月) 06:50:46.92

>>270
とりあえず思い当たることをざっくり。
・SQLインジェクション対策
・セッションハイジャック対策
・HTTPSの確認
・管理者のうっかり対策
・スパムメール基地化の防止

前2つはこの言葉と PHP で検索すれば出てくると思うけど、SQLインジェクション対策にはPDOのプリペアドステートメントとバインドを使うとか、セッションハイジャック対策は個人的には問い合わせフォーム程度ならセッションなんて使わずhiddenでたらい回しにするかな。
HTTPSの確認は、HTTPでアクセスされた場合に受け付けないとかHTTPSにリダイレクトするとかの施策だけど、シンプルなサーバ構成なら $_SERVER['HTTPS'] が 'on' かどうかを見ればいいものの、webサーバの前段に何か(AWS の ELBとか)入れてるとそれじゃダメなこともある。
開発前に HTTP と HTTPS でのアクセス時の違いを phpinfo を diff 取って確認しておくのがいいんじゃないかな。
管理者のうっかり対策ってのは、問い合わせ内容に悪意あるURLなんかが書かれていてもうっかり踏まないようにするとか。
悪意あるURLじゃなくても、管理画面なんかからリンクを直接踏めると referer とかで管理画面のURLが漏れることがある。
スパムメール基地ってのは、もし受け付け時にユーザーにメールを送信する場合、他人のメールアドレスを入力されるとそっちへメールが飛ぶことを悪用されること。
文面に悪意あるURLを書かれると、それを踏まされちゃうかもしれない。
対策はいろいろあると思うけど完璧な対策は難しく、どこかを妥協することになると思う(メール送るのやめるとか)。

**270** (ﾜｯﾁｮｲ 2ad0-kMcx) · 2018/07/16(月) 14:33:10.45

>>270です。

>>271さん
詳細なレスをくださり、ありがとうございます。
今回いただいたアドバイスを元にセキュリティを強化していきます。
本当にありがとうございました。

2018/07/16(月) 15:47:41.60

>>272
こんなところで聞くだけじゃなく、本買ってちゃんと勉強した方がいいよ
得丸さんって有名な人が最近本出したから買って損はない

**270** (ﾜｯﾁｮｲ 2ad0-kMcx) · 2018/07/16(月) 15:53:45.47

>>270です。

>>273さん
書籍情報ありがとうございます。
独学なのでありがたいです。

2018/07/16(月) 16:20:11.41

>>274
ごめん、名前間違えてた

徳丸浩
体系的に学ぶ安全なWebアプリケーションの作り方第2版脆弱性が生まれる原理と対策の実践

PHPがサンプルで使われてるので参考になると思うよ

**270** (ﾜｯﾁｮｲ 2ad0-kMcx) · 2018/07/16(月) 19:00:14.50

>>270です。

>>275さん
徳丸浩ですね了解しました。
重ね重ねありがとうございました。

2018/07/16(月) 21:18:00.33

書きっぷりから本人の気がするな

2018/07/16(月) 21:23:20.97

練習なら色々気を遣うトレーニングになるからいいけど, 実際に公開する場合にはよく使われてるメールライブラリを使うべきだろうな