naohiro19 さんが書きました:「
【PHP, MySQL】日本語をデータベース格納する時に文字化けが起こる」
というbonboさんのプログラムですが、以下のようなプログラムがあります。
CODE:
//エスケープしてから表示
$pen_name = htmlspecialchars($_POST["pen_name"]);
$mail = htmlspecialchars($_POST["mail"]);
$_pass_word = htmlspecialchars($_POST["_pass_word"]);
(省略)
naohiro19 さんが書きました:ですので
htmlspecialchars関数はHTMLに表示する場合に用いるための関数です。
ですのでユーザー入力を受け取る場合は filter_input関数を用いて以下のように入力データをきちんと受け取るようにするべきでしょう。
CODE:
$pen_name = (string)filter_input(INPUT_POST,'pen_name', FILTER_SANITIZE_STRING);
$mail = (string)filter_input(INPUT_POST,'mail', FILTER_SANITIZE_STRING);
$_pass_word = (string)filter_input(INPUT_POST,'_pass_word', FILTER_SANITIZE_STRING);
言及されている
bonboさんのトピックでも
みけCATさんが指摘されていますが……。
$pen_nameなどが代入後にどこで使われているかというと,直後の
bonbo さんが書きました:CODE:
print("登録名「 ${pen_name} 」");
print("メールアドレス「 ${mail} 」");
print("パスワード「 ${_pass_word} 」です。");
のみで,データベースへの挿入するためのバインドパラメータには
bonbo さんが書きました:CODE:
//?の位置に値を割り当てる
$stmt->bind_param('sss', $_POST["pen_name"], $_POST["mail"], $_POST["_pass_word"]);
と,送信された値をそのまま使っています。
つまり,htmlspecialcharsはその関数の目的にしか使われていません。
この投稿で, bonboさんのトピックを提示し,引用した意図はなんでしょうか。
タイトルが「htmlspecialchars 関数の誤った使い方と正しい使い方」という表現をしている日記の中で,bonboさんがhtmlspecialchars関数を利用している投稿を引用しているのですから,「bonboさんが誤った使い方をしている」という間違った印象を日記読者に与えるように思えます。
このような日記の構成にするのであれば,少なくとも「どこで使っているから誤った使い方なのか」も正しく指摘すべきでしょう。
誤った使い方をしていないのであれば,それを断った上で言及するか,そもそも言及しないかだと思います。
オフトピック
bonboさんのトピックの
最初の投稿は確かに編集されていますが,現時点 (20171029T1110+0900) における最終編集日時は20170908T0906+0900であって,
私の投稿と
その後の解決投稿の2つのみが編集以前の投稿です。
naohiro19さんの投稿は最終編集の3週間後ですから,「編集する前は間違っていた」という指摘をできるタイミングではありません。
なお,常に「FILTER_SANITIZE_STRING」を使うのは間違いです。
PHP: 除去フィルタにも,
タグを取り除きます。オプションで、 特殊文字を取り除いたりエンコードしたりします。
と書いてあるとおり,HTMLのタグと思われるものを入力から除去する,という動作を行うからです。
これが要件に合う場合はよいのですが,そうでない場合は正しくない動作になります。
言及されているプログラムでは,入力をhtmlspecialcharsに渡して出力しているのですから,FILTER_SANITIZE_STRINGを使うことが正しいとは思えません。
特にパスワード項目で勝手に文字を省けば大問題になります。
メニュー
カレンダー
Clock
最新メンバー
投稿数
統計データ
Link to us
カウンター