PHP質問・雑談スレ6【初心者お断り(ROM歓迎)】

[過去ﾛｸﾞ] PHP質問・雑談スレ6【初心者お断り(ROM歓迎)】 (974ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

1(2): 2019/05/12(日)18:21 ID:Bj6LHkP3(1) AAS
PHPに関する質問や雑談をするスレです。
初心者お断り(ROM歓迎)と書いてますが、初心者用のスレが用意されているからで、
難しい質問や話題をしなければいけないわけではありません。
PHPマニュアルの読み方を概ね理解していて、関数リファレンスが正しく読める方用のスレです。

PHP未導入の方や、手取り足取りが必要な初心者の方はム板のくだスレへどうぞ。
2ch板:tech　(【PHP】で板内を検索)

前スレ
2chｽﾚ:php

その他リンク
・PHPマニュアル
省16

2: 2019/05/12(日)19:37 ID:??? AAS
最近ちんぽがかゆいです。
パンツを脱いでちんぽを調べてみたら
尿道のところに細い糸のようなものがくっついていました。
糸を取ろうと思って指を近づけてみたら
糸がうねうね動きながら尿道の中に消えていきました。

・・・・僕のちんぽは蟲に乗っ取られました。

3(1): 2019/05/18(土)00:58 ID:??? AAS
サーバーサイドPHPなんですが
HTTPレスポンスヘッダでheader関数を使って

Content-Type: text/html; charset=UTF-8

のように文字コードまで送信しておくのがセキュリティ上好ましいという話を良く聞きますが
PHP7.2で試すと上記のヘッダーを送信しなくても自動で送信されてるんですよね
文字コードの指定まで完璧に

最近のバージョンでこうなったんでしょうか？
それと文字コードはUTF-8固定なんですかね、あるいはphp.iniのdefault_charsetから得ているのでしょうか

どうも公式マニュアルにこのあたりの情報がないのですが、わかる方教えてください

4(1): 2019/05/18(土)01:04 ID:??? AAS
前半はよく知らんけど、後半はマニュアルに書いてある。
https://www.php.net/manual/ja/ini.core.php
default_charset 確認してみ。

5(1): 3 2019/05/18(土)02:16 ID:??? AAS
>>4
レスありがとうございます

default_charsetの方に説明がありましたか
見落としてました

default_charsetがちゃんと設定されていれば
header()でConten-Typeを送信しなくても良さそうですね
もちろんtext/htmlのときだけですが

6: 2019/05/18(土)10:28 ID:??? AAS
そんなところで時間使うのもったいない
フレームワーク使ってそんな些細なところはすっ飛ばせ

7(1): 2019/05/18(土)11:26 ID:??? AAS
そもそもクライアントサイドPHPなど無い

8: [sega] 2019/05/18(土)13:56 ID:??? AAS
>>7
firefoxやchromeでそういうプラグインあると楽しいよね

9: 2019/05/18(土)14:08 ID:??? AAS
あんまり楽しくない・・・これ以上ややこしくするんじゃない・・・

10(1): 2019/05/19(日)08:22 ID:??? AAS
HTTPレスポンスヘッダの文字コードって何かセキュリティに効果あるんか？
レスポンスがどうだろうと、ユーザーが別の文字コードにエンコードしたら意味無いだろ？
異なる文字コードでフォーム送信してきたデータをうまく処理する仕組みがなければ
セキュリティリスクは変わらないと思うんだが。

まぁ意図してやらなきゃ発生しないって意味ではセキュリティ上好ましいって言えるのか？

11: 2019/05/19(日)08:51 ID:??? AAS
文字エンコーディングが曖昧だとブラウザが文字エンコーディングを
自動判別してしまう場合がある
そのとき、サーバー側が意図した文字エンコーディングとは違うものがブラウザで
採用されてしまった場合、サーバー側が意図していないメタ文字などが浮かび上がって
しまう場合がある

こういう解釈を俺はしている

12(1): 2019/05/19(日)09:39 ID:??? AAS
サーバ、クライアント、どちらからどちらに文字列を送るかよくわからないけど、嘘ついたら希望の処理をしない

13: 2019/05/19(日)12:47 ID:??? AAS
美乳って入れとけばええねん

14: 2019/05/19(日)13:11 ID:??? AAS
懐かしいなw

15: 2019/05/20(月)08:50 ID:??? AAS
>>12
根本的にわかってないだろ

16: 2019/05/20(月)16:32 ID:??? AAS
ブラウザ側が容易に文字コードを指定できる以上、
ヘッダを指定しようと、美乳入れようと、おまじない以上の価値しか無い
セキュリティ向上には繋がらない

セキュリティとしてはどのような文字コードでフォーム送信してきても
上手く処理できる仕組みでなければリスクは残る
例えばUTF-7なら、<>や"を記述せず表すことが出来る。それを鵜呑みにして通過させたらえらい事になる。

そういうのを回避する為、PHPでは親切なことにhtmlspecialcharsという素敵な関数が用意されている。
これを通していれば文字コード関連はまず問題ない。
ヘッダで文字コード指定するより、入力にhtmlspecialcharsしておくほうがセキュリティ的には大切だ。

17: 2019/05/20(月)19:39 ID:??? AAS
そういうことじゃないんだよなぁ

18(1): 2019/05/20(月)20:56 ID:??? AAS
>>10
CGM とかのユーザ投稿を許容するサイトで、もし任意の charset 指定ができてしまうと、文字のバケ具合によってはエスケープされてない記号が生きる可能性が出てくる。
結果書き込み内容によっては XSS とかができるようになって困ってしまう。

19: 2019/05/21(火)01:31 ID:??? AAS
>>18
任意の文字コードは誰でも出来るだろ
何でブラウザ側にある情報を任意に指定できないと思ってるんだ？

chromeだとこれ入れれば出来る
https://chrome.google.com/webstore/detail/set-character-encoding/bpojelgakakmcfmjfilgdlmhefphglae

ブラウザ側の文字コードが何であってもサーバー側の都合のいい様にエスケープするのがhtmlspecialcharsだろ

20: 2019/05/21(火)04:03 ID:??? AAS
違います

上下前次 1-新書関写板覧索設栞歴

あと 954 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.282s*