【PHP】下らねぇ質問はここに書き込みやがれ 12

[過去ﾛｸﾞ] 【PHP】下らねぇ質問はここに書き込みやがれ 12 (1002ﾚｽ)
上下前次1-新
抽出解除必死ﾁｪｯｶｰ(本家) (べ) 自ID ﾚｽ栞あぼーん

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

504: (ﾜｯﾁｮｲ 7108-8Xcr) 2021/07/28(水)10:44 ID:5Wbud5da0(1/7) AAS
>>485
関連レスをザッとだけ読んだけど、スレ回答者の中にもおかしな事を言ってるやつはわりといる
いちいち指摘してたらキリないから割愛するが、スレ回答者の皆が実務経験豊富なプロってわけじゃないからなぁ…

でもお前さんも、自分が「思い込みが激しくて頭が固いタイプ」だって事は自覚しよう
rssの質問のときも、print_r($rss); とするだけで理解できる筈の事を理解できず、質問を繰り返してたでしょ？
だからスレが荒れるんだよ？分かる？

505(2): (ﾜｯﾁｮｲ 7108-8Xcr) 2021/07/28(水)10:44 ID:5Wbud5da0(2/7) AAS
>>485
で、元の質問は>>453でしょ？
画像を出力するコードの中にHTMLを出力すれば、意図した結果にならないのは当たり前

普通は「画像出力専用のPHP」を用意してこうやる
<img src="output_image.php?id=12345">

そして「HTMLを出力するPHP」の中で下記のようにすればいいだけ
<html>
省10

506: (ﾜｯﾁｮｲ 7108-8Xcr) 2021/07/28(水)10:46 ID:5Wbud5da0(3/7) AAS
>>485
>>505に書いたoutput_image.phpの仕様がもし
output_image.php?path=img/abc/123.jpg
のように、画像のパスを渡したらその内容をそのまま表示するとなっていた場合、「パストラバーサル」と呼ばれる脆弱性が発生する危険性がある

例えば、pathの値が「img/../../../secret.txt」だった場合、意図せずsecret.txtの中身が第三者に読まれてしまうって事ね
だから、そうならないようpathの値をしっかりチェックしないといけないのだけど、一連の質問を見ている感じ、あなたにそれを自前でやるのは無理だと思う

なので、「ファイルパスを渡す」のではなく、最初の例のように「画像を識別できるIDを渡す」ようにすればいい
省2

507(1): (ﾜｯﾁｮｲ 7108-8Xcr) 2021/07/28(水)10:50 ID:5Wbud5da0(4/7) AAS
>>485
最後に

アップロード処理が管理者にしかできない＝第三者に変なファイルをアップされる心配がないのであれば、
<img src="img/abc/123.jpg">
で別にええのよｗ

img/abc/123.jpg というファイルパスを第三者に知られたくないなら、>>505の例のように「間にPHPをかまして出力」すれば良いってだけ

逆に、第三者に変なファイルをアップされる心配があるのであれば、「アップロード処理の際に（出力の時ではなく）」厳密なチェック処理をしないとダメ
省9

510(1): (ﾜｯﾁｮｲ 7108-8Xcr) 2021/07/28(水)16:52 ID:5Wbud5da0(5/7) AAS
>>476
ゴミレスに埋もれて気づかなかったｗ

PHPの記述を
exec('ipconfig', $message);
↓
exec('chcp 932 | ipconfig', $message);

に変えたら上手くいくと思う
省1

511: (ﾜｯﾁｮｲ 7108-8Xcr) 2021/07/28(水)16:54 ID:5Wbud5da0(6/7) AAS
>>479
error_reporting(E_ALL);
ini_set('display_errors', 1);
$url = "外部ﾘﾝｸ:f.irbank.net
$json = file_get_contents($url);
var_dump($json);

ってやったらどうなる？
省7

514(1): (ﾜｯﾁｮｲ 7108-8Xcr) 2021/07/28(水)22:44 ID:5Wbud5da0(7/7) AAS
>>512
MIMEのチェックが必要なのは、「第三者が」画像の「アップロードをするとき」の話ね
画像を表示させる前にそんなものは要らない

＞ MIMEチェックするのがそんなに難しいことなんですか？

PHPでアップロード処理した際、MIMEタイプは $_FILES['hoge']['mime'] に入るんだけど、
それは偽装できる
だからその値は信用せず mime_content_type() などで別途チェックしようってこと
省5

上下前次1-新書関写板覧索設栞歴

ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.037s