【PHP】下らねぇ質問はここに 9

2017/12/20(水) 18:00:20.28

PHPに関する質問スレです

前スレ
【PHP】下らねぇ質問はここに書き込みやがれ 8
http://mevius.5ch.net/test/read.cgi/tech/1489506082/

次スレは>>980以降
本文の1行目に以下を追加すること
!extend:on:vvvvv:1000:512

VIPQ2_EXTDAT: default:vvvvv:1000:512:----: EXT was configured

2018/08/16(木) 15:05:20.08

永遠に噛み合わないんだな

2018/08/16(木) 15:34:33.46

>>491
> 一番に検討しなくちゃいけないのは、外とのインタフェースをあちらこちらに書かず特定の機構に閉じ込めるということだろ。
このことはだれも否定していない。

> 閉じ込めた中で $_GET と filter_input のどちらを使うかなんてことは本質じゃなく、その時の都合でベストチョイスすればいいだけのこと。
こっちを、スーパーグローバル変数を使用するのはやめようぜ。って言ってる
自前実装だろうが、PHPの仕様だろうが、グローバルな変数ってだけで悪ｗ

> グローバルはいけないんだなんて言ってみても、結局 >>475-476 でしょ。
だから、immutable 版がほしいね。って流れ

2018/08/16(木) 16:04:23.82

ざっと見て>>448あたりは結構頑張って理由を書いてると思うし
>>493はワッチョイから判断するに同じ人だと思うのだけど
自分は>>442を見た時点で説明するだけ時間の無駄だと判断した

スーパーグローバル変数（笑）なんてものを直接使う糞コードが少しでも減ってくれたらいいなとは思う

2018/08/16(木) 16:49:55.61

ワッチョイで >>448 と >>493 が同じってどうやって判断するの？
>>493 と >>494 は hE18 で同じかなって気がするが、そういう見方じゃないんだっけ。

2018/08/16(木) 17:14:51.55

来週の木曜0:00AMまではワッチョイ末尾4桁「hE18」はJaneStyle4.00をデフォの設定で使ってる人
すなわちUserAgentを現してる（毎週木曜リセット）

じゃぁどこ見て判断してるのかといえば「b3」で
大雑把に回線が同じHostなんだろうって事を確認して
あとは文体で判断してる（リセットされない）

プログラム板の人なんだからそれぐらいの法則性は自力で見つけて欲しいものだが…

2018/08/16(木) 17:19:27.02

ちなみにこんなサービスもある
ttps://afi.click/browser/list/

プログラム板の住人なら
どうやればこのサービスを実現できるか
DB設計から考えてみたらいいんじゃないかな

2018/08/16(木) 17:33:27.71

>>496
なるほどありがとう

2018/08/16(木) 19:24:56.49

他人に根拠希薄にプログラマー失格とか罵っときながらのオチがこれ

2018/08/16(木) 19:44:09.16

11レスもしながら出だしの>442の時点で間違ってるのは
オチとは言わず「ボケ」と言うんじゃないかと
たくさんのツッコミが貰えて本望だろう

2018/08/16(木) 20:11:17.99

この話題の最初に書いたとおり、filter_input の使用に関して、スーパーグローバル回避のためって理由がググっても中々ヒットしない。
ある程度コードかけるようになると自明だし、フレームワーク使うようになると filter_input すら使う機会が少なくなるからだと思うけど、量産型初心者が全部 $_POST で育ってくるのでめんどいｗ
みんなどんどん素敵記事書いて、初心者に広報してくれんかねぇ。

2018/08/16(木) 20:24:00.00

グローバル変数を使わない方がいい理由が分からないって人ってやっばりPHPしか書けない人なのかな？
他の言語では常識な事だけに何が理解できないのかが理解できない

2018/08/16(木) 20:26:09.89

✕PHPしか書けない
◯PHPすら書けない
PHPerが馬鹿にされる理由がよく分かるよな

2018/08/16(木) 20:51:12.43

メジャーなフレームワークのコードを読んでみたりはしないのだろうか
全部を確認したわけではないけど流石に$_GET $_POSTを直接ごにょごにょやってるFWは無いと思う

2018/08/16(木) 21:00:30.27

ググってみるとteratailに質問してる初心者のやり取りを見つけたからurlを張っとく
https://teratail.com/questions/63786

501の言う量産型初心者が1人でも減ってくれることを願って。。。

2018/08/16(木) 21:21:55.14

>>505
これ、オレがコメントした時に参考にした記事ｗｗｗ
これのせいで、「疎結合」とか、伝わりにくい表現使ってしまった。

ちゃんと理解した奴がまとめて記事書いてくれprz

2018/08/16(木) 23:22:50.51

>>504
laravel 5.6.33 の新規プロジェクト作って grep してみたら、filter_input はヒットしなかったよ。
$_GET やら $_POST、$_SERVER なんかを使ってるコードはたくさんあるが、これが FW 本体なのかは知らないから見てるものが違うかもしれんが。

ついでに手元にあった古い cakephp のコードも grep してみたけど、やはり filter_input は使ってないようだね。
最新だとどうなのかは知らないけど。

どのフレームワークのコードを読んだの？

2018/08/17(金) 09:37:21.95

なんで使ってないんだろうな
さすがに何らかの理由があるはずだよな

2018/08/17(金) 10:55:31.64

その辺はいろいろなFWのコードを読んだ >>504 がまず解説してくれると思うけど、
>>493 によればグローバルな変数ってだけで悪らしいし、それについての否定コメントも無いことを見れば共通認識なんだろうから、
この流れから言えば量産型初心者が作ってるってことなんじゃない。
スパーグローバルの差し替えなんて密結合(?)な行儀の悪いこともしてるようだから、ゴミがメジャーになった悲劇的なケースなんだろうかね。
おれはそうは思わないけど。

filter_input は多重配列に弱いし $_GET や $_POST も含めて同じパラメタ名が重複することに気付けなかったりするので必要に応じて自前で QUERY_STRING やら STDIN を読む選択もあるだろうと思ってるから、
FW の利用を含めておれはその時一番都合のいい方法を選択するから気楽なもんだ。
選択肢を絞ることを徹底するというのも品質管理の手法の一つとしてあると思ってるけどね。

何にしても解説を待ちたいね。

2018/08/17(金) 11:20:01.64

グローバル変数とユニットテストについて質問です。
ユニットテストで、NULLバイトチェックのため、$_GETにユーザー入力値（ヌルバイト￥０）を
直接代入してテストしていますが、これはまずいのでしょうか？

public function test_checkNullbyte()
{
　　$_GET['nullbyte'] = "abc\0xyz";
　　$this->object->checkNullbyte();
}

2018/08/17(金) 12:03:44.89

>>510
そのチェックメソッドが $_GET を参照する作りになってるならいいと思うよ。

2018/08/17(金) 13:11:10.69

>>511
ありがとうございます。
プロダクトコードのスーパーグローバル変数の参照部分を見直してみます。

2018/08/18(土) 15:56:58.30

JavaScriptを使わず、PHPだけでフォームの戻るボタンって作れるんですか !?

2018/08/18(土) 16:58:29.16

>>513
JavaScriptを使わずと言うことは

<input type="button" value="戻る" onclick="history.back()">
こういうのもだめってことかな？

**513** (ﾜｯﾁｮｲ 9fd0-QxOT) · 2018/08/18(土) 17:14:55.37

>>513です

>>514さん
ISO-HTMLなのでイベントハンドラ？も使えないです。

2018/08/18(土) 17:34:08.27

安易だが
ブラウザから返してくる、$_SERVER['HTTP_REFERER']の値を信じて、そこに送り返してあげる
（セットしないブラウザもあるし、嘘も書けるので、オススメはしない）

面倒だが
自分のサイトだけで遷移しているなら、直前のURLをセッションに持たせ、それを参照して戻す
（入力フォームで行ったり来たりする場合は、入力しかけのフォームの値も保持しないと行けなくなる
　こういう場合、相当面倒な処理を書かないと行けないと思うが、仕方ないね？）

2018/08/18(土) 17:38:53.55

あるいは
フォームでPOSTする要領で直前のURLに遷移すると言う方法もある
その場合はサーバー側で次画面に遷移する際に、
現在の場所をフォームに埋め込む形で出来る

**513** (ﾜｯﾁｮｲ 9fd0-QxOT) · 2018/08/18(土) 17:38:54.09

>>513です

>>516さん
セッションですか !?
身につけたいので頑張ります！

2018/08/18(土) 18:39:50.05

>>508
$_REQUESTとかってwww-form～専用だろ。

2018/08/18(土) 19:33:02.59

>>513
よくあるフォームで、入力➡確認➡完了みたいな流れの中で確認から入力に戻るような話？

**513** (ﾜｯﾁｮｲ 9fd0-Mwiu) · 2018/08/20(月) 14:51:18.69

>>513です

>>517さん
お返事が遅れました。
戻る際にもフォームを使うということですか。
ありがとうございます。

>>520さん
お返事が遅れました。
>>確認から入力に戻るような話？
はい。PHPで対応したいので現在勉強中です。
始めはHTMLのtype="heidden"を採用しようと考えていたのですが、いただいたレスやセキュリティを考えた結果、セッション変数を使ってみようかと思い試行錯誤中です。

2018/08/20(月) 16:35:49.23

>>521
そういう遷移ならもっとシンプルに考えた方がいいんじゃね。
submit ボタンに name を設定しておけば、送信時に押されたボタンが分かるよ。
>>520 のような全部の画面は例えば form.php で処理させ、押されたボタンによって画面を出し分けるなんてのが簡単じゃないかな。
確認画面には例えば <button type="submit" name="act" value="back">戻る</button> と <button type="submit" name="act" value="send">送信</button> 置いておく感じ。
入力画面には <button type="submit" name="act" value="check">確認</button> とか。
すると form.php はこんな感じ。

$act=filter_input(INPUT_POST, 'act');
$view=入力画面;
入力値の取得とバリデーション;
if(エラー無し) {
if($act==='check') {
$view=確認画面;
}
elsif($act==='send') {
登録処理;
if(成功) {
$view=完了画面;
}
}
}
$view 表示;

セッション使ってないから、確認画面には入力値を hidden で埋めておく。
入力画面ではエラーメッセージの表示も行う感じ。

2018/08/20(月) 16:45:12.31

>>522
その流れだと初回表示時にバリデーションが走って必須項目未入力のエラーが出ちゃいそうだねw
説明用とは言え雑だったが、submitボタンが取れることが分かればうまいことやれるでしょ。

**513** (ﾜｯﾁｮｲ 9fd0-Mwiu) · 2018/08/20(月) 17:48:24.04

>>513です

>>522さん
そのような方法もあるんですね。
くださったレスを参考にいろいろと試行錯誤してみます。
ありがとうございました。

2018/08/21(火) 06:38:40.38

hiddenが危険という言葉を鵜呑みにする必要はない
用途による
メールフォームの確認程度なら別にhiddenでいい
そんなの改ざんする意味もなければされたところで問題ないし
最終的に受け取ったデータを通すかはPHPが判断すればいいこと

2018/08/21(火) 12:56:33.44

hiddenに限らずチェックはしないとね
さもないと、支払もすんでいない商品を買ったことにされたり
ログイン認証済んでいないのに、内部に入り込まれたりするから

2018/08/22(水) 05:59:35.69

質問投下です。
PHP 2chBBSをphp7.0のサーバーにアップして色々と対応させるよう書き換えましたが、これだけが分かりません。
abon.php,92行目あたり
$line = preg_replace("!<a href=\"\.\./test/read\.php/$_POST[bbs]/$_POST[key]/([\d|\-]+)\" target=\"_blank\">>>([\d|\-]+)</a>!e",
"'<a href=\"../test/read.php/$_POST[bbs]/$_POST[key]/'.res_num('$1',$del).'\" target=\"_blank\">>>'.res_num('$2',$del).'</a>'", $line);

php7ではpreg_replaceのe修飾子が廃止されており、preg_replace_callbackを使う事に
なっているようですが、ググってみても、どのように置き換えれば良いのか分かりません。

お知恵をお借りできれば助かります。よろしくお願いします。

2018/08/22(水) 07:23:29.30

その部分だけ見ててもすげーやべーコードなのが分かるから手直し以前にゼロから作り直した方がいいよ
つか調べたら最終更新2005年(13年前)でかつこのコードとか本格的にやべーのでもっと新しくてまともなもの探さなきゃダメだよ

2018/08/22(水) 07:44:33.35

スーパーグローバルのチェックはしてあるんだと思うよ。流石に…w

**527** (ﾜﾝﾐﾝｸﾞｸ MMbf-ycnR) · 2018/08/22(水) 08:17:00.54

>>528
レスありがとうございます。
これ、ちまちまと手直しして使っておりまして。
このコードは管理機能内の記事削除部分で、管理者しか使えないですし、
第三者が入れないよう認証かけてるのでセキュリティーは多分大丈夫だと思います。

取りあえず使えるようにしたいので手直し出来るのであれば教えて欲しいです。

あと、どういう点がやばいのかご教示いただければ勉強出来るので非常に助かります。

2018/08/22(水) 08:40:59.95

だから、$_POSTをいきなり正規表現の処理に入れてるところがヤバイって言いたいんだと思う。
bbsやkeyに悪意のあるコードを入れてられても、そのままノーチェックで処理を継続していたらヤバイ。

仮にチェック済だとしても、スーパーグローバルを使ってると頭悪そうにみえるしな。

2018/08/22(水) 10:16:38.53

>>527
$line = preg_replace_callback(
　　"!<a href=\"\.\./test/read\.php/$_POST['bbs']/$_POST['key']/([\d|\-]+)\" target=\"_blank\">>>([\d|\-]+)</a>!",
　　'callback_hoge', $line);

function callback_hoge($matches)
{
　　return "<a href=\"../test/read.php/$_POST['bbs']/$_POST['key']/" . res_num($matches[1], $del). '\" target=\"_blank\">>>' . res_num($matches[2], $del) . '</a>';
}

クロージャ使って書くなら

$line = preg_replace_callback(
　　"!<a href=\"\.\./test/read\.php/$_POST['bbs']/$_POST['key']/([\d|\-]+)\" target=\"_blank\">>>([\d|\-]+)</a>!",
　　function ($matches) {
　　　　return "<a href=\"../test/read.php/$_POST['bbs']/$_POST['key']/" . res_num($matches[1], $del). '\" target=\"_blank\">>>' . res_num($matches[2], $del) . '</a>';
　　},
　　$line
);

半角スペース2個を全角スペースにして書いてるので注意

2018/08/22(水) 10:25:32.15

【補足】
他の人も書いてるけど
たった1行のコードから色々とヤバさが伝わってくる代物なので
他の代替手段を使うことを強くおすすめ

少なくとも $_POST[bbs] じゃなく {$_POST['bbs']}

>>530
JVNにXSSの脆弱性がある事が報告されてる
https://jvn.jp/jp/JVN48774168/index.html

コードをざっと斜め読みしたけど他にも色々と駄目すぎてどこから手を入れるべきかアドバイスできないレベルで酷い
2005年のコードでもきちんと書いてればPHP7でも大体問題なく動くものだけど
このコードだと他にも色々と問題が出ると思う

2018/08/22(水) 10:32:57.26

>>532訂正
$delって変数があるの見落としてた

$line = preg_replace_callback(
　　"!<a href=\"\.\./test/read\.php/$_POST['bbs']/$_POST['key']/([\d|\-]+)\" target=\"_blank\">>>([\d|\-]+)</a>!",
　　'callback_hoge', $line);

function callback_hoge($matches)
{
　　return "<a href=\"../test/read.php/$_POST['bbs']/$_POST['key']/" . res_num($matches[1], $GLOBALS['del']). '\" target=\"_blank\">>>' . res_num($matches[2], $del) . '</a>';
}

クロージャ使うなら

$line = preg_replace_callback(
　　"!<a href=\"\.\./test/read\.php/$_POST['bbs']/$_POST['key']/([\d|\-]+)\" target=\"_blank\">>>([\d|\-]+)</a>!",
　　function ($matches) use ($del) {
　　　　return "<a href=\"../test/read.php/$_POST['bbs']/$_POST['key']/" . res_num($matches[1], $del). '\" target=\"_blank\">>>' . res_num($matches[2], $del) . '</a>';
　　},
　　$line
);

2018/08/22(水) 10:41:30.78

エラーを無視するような感じのエラー処理が適当なコードだから
セキュリティもそれなりなのだろうというのが容易に想像出来るんだわ
なんせPHP4時代のコードだし今ほどそのへん考慮されてないからねえ

2018/08/22(水) 10:41:35.61

>>529
コード内に出てくる $_POST[bbs]（本当は $_POST['bbs'] だが）は
まともにチェックされてないっぽい
unlink("../$_POST[bbs]/...");
みたいなコードが散見されるから
NULLバイト攻撃も素通りだと思う

ヤバすぎ

2018/08/22(水) 10:52:29.28

>>532
$del を受ける use が必要じゃね

あと細かい話だが、PHPが単なる即時関数もクロージャと言うのにはちょっと違和感ある。
>>532 のケースはクロージャになるけど、クロージャってやっぱスコープが特殊なところに意義があるというか。

2018/08/22(水) 10:56:49.46

>>536
そうなんだ…ワロタ
クローズドな環境で割り切って使う以外はあぶないね。

2018/08/22(水) 10:58:38.85

OSに処理投げる形式のファイルシステム関数についてはnulバイト攻撃はPHP側で対策されてはいる
https://github.com/php/php-src/blob/master/ext/standard/file.c#L1510
https://github.com/php/php-src/blob/master/Zend/zend_API.h#L1011

が, 何れにせよ救いがたいコードで, 管理者しか使えないから問題ないという発想も正直ヤバい
この状態から>>527の質問のレベルで更にツギハギで直してるっていうんだからセキュリティに関しては想像もしたくないというのが正直なところ

2018/08/22(水) 11:04:53.85

敢えて繰り返すけど, もっと新しくてまともなもの探さなきゃダメだよ
そうするのがベターなんじゃなくて, そうしなきゃダメ, SHOULDじゃなくてMUSTだよ

2018/08/22(水) 11:08:19.17

>>539
かなり昔に対策されたんだな
知らなかったサンクス

$_POST[bbs]でコード内を検索したら
unlink("../$_POST[bbs]/dat/$_POST[key].dat");
こんなコードが出てきたんでびっくりして脊髄反射してしまったｗｗ

2018/08/22(水) 11:35:44.27

ついでに正規表現パターンにPOSTデータ突っ込むのがどうしても我慢ならなかったから直してみた

$line = preg_replace_callback(
'!<a href="\.\./test/read\.php/(?<bbs>[^/]+)/(?<key>[^/]+)/(?<num>[\d|\-]+)" target="_blank">>>\k<num></a>!',
function ($matches) use ($del) {
$bbs = filter_input(INPUT_POST, 'bbs');
$key = filter_input(INPUT_POST, 'key');
if ($matches['bbs'] !== $bbs || $matches['key'] !== $key) {
return $matches[0];
}
return '<a href="../test/read.php/'.$bbs.'/'.$key.'/'.res_num($matches['num'], $del).'" target="_blank">>>'.res_num($matches['num'], $del).'</a>';
},
$line
);

2018/08/22(水) 11:58:13.96

Interface用のファイルって基本的にどこに置けばいいの？
それを継承するクラス群と同じディレクトリなのか、
もしくは最初から一箇所(例えばMyApp\Contract等)にまとめていいのか

**527** (ﾜﾝﾐﾝｸﾞｸ MMbf-ycnR) · 2018/08/22(水) 12:28:34.49

>>532
手直し、ありがとうございます。
勉強させてもらいます。

件の掲示板ですが、社内LANで運用されておりまして、前任者より引き継いだものです。
設置はさらに前の前任者（退職）が行ったようです。
お察しの通り、phpのスキルはそれ程高くはありません。

移行を検討するよう進言してみます。
ありがとうございました。

2018/08/22(水) 13:23:13.49

社内でしかも管理者限定なら急ぐことはないか…
でもコードの品質全てが問題ありそうだから、仲間内で注意喚起はした方がいいな。
JVNで周知されてるのも良い理由になると思う。

2018/08/22(水) 13:39:41.75

>>544
>>532のコードは間違ってるので使うなら>>534か>>542で

お節介ながら
今はSlackみたいな便利なものが色々とあるので
そもそも掲示板を使う必要はあるのか？ってところから検討した方がいいのではと

2018/08/22(水) 15:37:33.16

メールヘッダーインジェクションって現バージョンのPHPではどうなんですか？
mail()やmb_send_mail()で対策されたとネット上で見かけたのですが(´・ω・`)

2018/08/22(水) 18:00:41.89

>>547
英語版のPHPマニュアルの改変履歴追ってみると7.2.0での対応で一段落って感じだけど
日本語版には書かれてないな

NULLバイトや改行コードを悪用したインジェクションなら
mail()やmb_send_mail()に渡すデータをバリデーションしてたら7.2.0未満でも問題ない筈だが

2018/08/23(木) 11:42:53.96

ttps://blog.ohgaki.net/php-mail-header-injection

2018/08/25(土) 11:28:42.39

例外を投げるとき、Exceptionを投げるのは良くないのでしょうか？

Exception は、すべての例外の基底クラスだからユーザーが投げるのは
良くないという記事を以前に何かで見たので気になります。
ただ、PHPマニュアルでは、普通にExceptionを投げる例が載ってます。
http://php.net/manual/ja/language.exceptions.php

<?php
function inverse($x) {
if (!$x) {
throw new Exception('ゼロによる除算。');
}
return 1/$x;
}

2018/08/25(土) 11:34:28.91

要するにcatchしたいときにExceptionやらThrowableとするしかなくて, 少なくとも例外は全部漏れなく捕捉してしまうのが問題なわけだ

2018/08/25(土) 11:45:15.82

>>551
なるほど。例外を個別に場合分けして処理したいときに困るということですね。
ありがとうございます。疑問が晴れました。

2018/08/25(土) 14:02:12.59

最近話題になってたfilter_inputみたいに$_POSTを取得する関数って他にもあるんですか？
http://php.net/manual/ja/ref.filter.php

2018/08/25(土) 14:31:15.65

>>553
それは $_POST を取ってるわけじゃない。
POSTされたデータを取る手段として $_POST と filter_input がある。
他の標準的な手段として用意されてるものは無いと思うけど、リクエストを自分で処理するという手段はある。

2018/08/25(土) 15:51:20.36

>>554
詳しく教えてくださりありがとうございます。
勉強になりました。

2018/08/25(土) 17:23:47.40

php://input

2018/08/26(日) 18:28:50.81

FILTER_SANITIZE_FULL_SPECIAL_CHARS？
htmlspecialchars？
あばばばば(´・ω・`)

2018/08/27(月) 00:57:59.28

前者は使わなくてもいい。
後者は画面に出すときに必須

2018/08/27(月) 15:45:55.66

mail関数で文字化けするのはどういった状況なんだろうか

2018/08/27(月) 15:53:58.45

エンコード関連の設定が間違えているって書いても、
そのくらいは知っているって言われそうだしなあ

2018/08/27(月) 17:28:58.93

PHPを初めて間もないので知らなかったです(´・ω・`)
文字化けが自分で作った環境が原因でおこるのか、
ユーザーの環境によっておこるのか、
それすらも現在進行形で勉強中です。

2018/08/28(火) 09:51:44.23

今時はメールもutf-8にしちゃう方が良い？
サイズはともかく。

2018/08/28(火) 10:03:40.00

JIS だと扱えない文字が結構あって面倒なんだよね。
氏名を埋め込もうとするだけでもすぐ問題が起こる。
個人的には結構保守的なんで極力 JIS にしたいが、utf8 も仕方ないかなと思うこともある。

2018/08/28(火) 12:43:02.68

>>559
件名が化けてるの？
本文が化けてるの？

**559** (ﾜｯﾁｮｲ 2ad0-wF79) · 2018/08/28(火) 15:49:05.60

>>559
>>561です

>>564さん
どちらも化けてないです。
ただ文字化けする状況がよくわからなかっただけです。
自分の環境を全てutf8に統一すれば化けないですかね(´・ω・`)

2018/08/28(火) 18:24:33.50

どちらかと言えば、送信したサーバー側にあると思うよ。
ヘッダをMIMEエンコードしてないとか、
本文をJISと宣言しておいてSJISとか良く見る。
作る側が理解してない。

それを受信すらメールソフトが何とか正しく表示しようと努力して、
それでもダメだった場合に化ける。

あと稀に、ソースからしてそもそも化けてるという
バカが書いたメールもあるw

2018/08/28(火) 18:32:36.85

>>566
たまに磁場消したメール受けとる
解読するのを楽しみにしたりする

2018/08/28(火) 18:32:58.74

字化けした
ごめんｗ

2018/08/28(火) 20:03:27.33

>>568
も抜け・・・

**565** (ﾜｯﾁｮｲ 2ad0-wF79) · 2018/08/29(水) 16:28:12.93

>>565です

>>566さん
こちらがしっかりと設定すれば大丈夫そうですね。
後は山のように試行錯誤を積み重ねていきたいと思います(´・ω・`)

今はmail($to･･･)の$toに自分のメールアドレスをどのようにして入れるか考えてます。
define関数で定義した方が安全？なんでしょうか。
勉強がんばります。

2018/08/29(水) 16:47:55.26

>>570
メンテナンス性を考慮すれば定数で定義しとく方が好ましい
”ハードコーディング”でググるんだ

あとPHP5.3未満だという理由でもない限りは
定数の定義はdefine()じゃなくconstでいい

define()にしかできない事をやる時だけdefine()を使う
…というかdefine()にしかできないような定数の定義の仕方は
しない方がいいというか

2018/08/29(水) 17:14:13.88

>>570
confg.phpとかconfig.iniとか作って、
設定値を書きまくるファイル用意するといいよ。
定数名は大文字にしておけば目立つね。

**570** (ﾜｯﾁｮｲ 2ad0-wF79) · 2018/08/29(水) 18:04:53.37

>>570です

>>571さん
constでも定義できるんですね。
他にも詳しいアドバイスありがとうございます。

>>572さん
設定値を管理するファイルを作る、メモしました。
定数名は大文字がマナー？なんですかね。

お二方、アドバイスありがとうございます。
ずっと画面と見つめ合ってたので頭が痛いです。
体調管理に気を付けます。
ありがとうございました。

2018/08/30(木) 19:30:03.21

>>570の$toって直書きすると外部から参照されたりするん？
そこらへんうちも勉強不足だわ

2018/08/30(木) 19:32:18.17

外部からってどういう意味？
宛先見せないと配達できないでしょ？
そういうことじゃなくて？

2018/08/30(木) 19:44:52.34

web公開ディレクトリに置かないのが基本なんだよ。
hdocs/index.html
lib/php/config.ini

2018/08/30(木) 20:10:41.63

共用のレンタルサーバーだと、
Permissionを0604にするのもありだな。

最初の0は気にしない。
次の6は自分の読み書き権限
次の0は同居してるユーザーに権限剥奪
最後の4はApacheに読み取り権限

2018/08/30(木) 20:37:32.95

>>577
釣りかな？
それApacheにかぎらず誰でもオッケーって意味だよ

2018/08/30(木) 20:58:13.62

ほとんどの共用レンタルサーバーは、
webユーザーは同一グループに所属するから、
xx0xで引っ掛けて拒否させるんだよ。
最後の4は付けないとApacheが読めない。

https://www.xserver.ne.jp/manual/man_server_permission.php

グループ設計がどうなってるかとか、
PHPの実行ユーザーが誰になるかとか、
事前に確認しないといけないな。
suEXEC、FastCGIなんかで変わってくる場合もあるし。

2018/09/01(土) 18:28:51.43

exit()
die()
(´・ω・`)？

2018/09/01(土) 18:34:59.89

死ねって言われたいのかなあ

2018/09/01(土) 19:17:45.13

>>580
ディエはエラーログに残る

2018/09/02(日) 10:08:19.04

ど素人です
質問させてください
cakephp3のwebroot以下にある.htaccessで、mod_rewriteの括弧外にrewritecondやrewriteruleが書かれているものを人様のサイトで拝見しました
括弧外に置かれても、機能するものなのでしょうか

2018/09/02(日) 10:25:45.60

<IfModule mod_rewrite.c>
もしかしてこれ？

2018/09/02(日) 13:32:00.09

そうです

すみません、>>583は携帯から書き込んでいたので正確ではありませんでした
質問するにしても良くなかったですね

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^ index.php [L]
</IfModule>
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

このようなものなのですが

2018/09/02(日) 15:33:48.84

それは、そのモジュールが有効化されていたら設定するって意味で、
何のモジュールのディレクティブなのか明確になる以外にメリットない。

だから書かない方が良い。
ifを書かなければ、モジュールが無効なら即500エラーで設定ミスに気付ける。
モジュールが無効なのにエラーにならず、
設定したつもりでいる方が危ないからね。

2018/09/02(日) 15:42:33.40

>>581
怖い(´・ω・`)

>>582
ありがとう

2018/09/02(日) 18:59:05.09

>>586
返答ありがとうございます

リファレンスにしていたものが、全てディレクティブを括弧内に書いていたのと
cakephpのインストール直後のプロジェクトに入っていた.htaccessでも
ディレクティブが<ifmodule>で囲まれていたので、
基本的には囲う必要があり、外に出る方がおかしいと思い込みがありました

まさにおっしゃられていた通り、apache2.confを見てみたら
Loadmoduleでmod_rewriteを有効化していたつもりで、実際にはコメントアウトされていたのですが
それにも気付いていませんでした

どうもありがとうございます

2018/09/03(月) 09:54:20.75

読み返してたんだけど>>557の前者って使うことないものなの？

2018/09/03(月) 11:36:23.62

>>587
ネタにマジレスしとくと
dieの発音は「ディエ」じゃなく「ダイ」だし
exitとdieは等価なので、エラーログに残るとかは嘘

exitの方が一般的だとは思うが好きな方を使えばOK
あくまで予想だが、die()はperl言語出身者に配慮して作ったんじゃなかろうか

2018/09/03(月) 12:01:10.60

height
align
allow
deny

web系に関わってるのにこういう単語の読み方がおかしな人の言う事は疑ってかかった方がいいという経験則