TechAcademy(テックアカデミー) プログラミング PHP PHPでフォームの二重送信を防止する方法を現役エンジニアが解説【初心者向け】
オーダーメイドコース
icon
icon
PHP

PHPでフォームの二重送信を防止する方法を現役エンジニアが解説【初心者向け】

初心者向けにPHPでフォームの二重送信を防止する方法について現役エンジニアが解説しています。フォームの二重送信とは、複数回リクエストを送ってしまう操作のことです。フォームで二重送信を防止する方法として、PHPのセッションを使う方法を解説します。

テックアカデミーマガジンは受講者数No.1のプログラミングスクール「テックアカデミー」が運営。初心者向けにプロが解説した記事を公開中。現役エンジニアの方はこちらをご覧ください。 ※ アンケートモニター提供元:GMOリサーチ株式会社 調査期間:2021年8月12日~8月16日  調査対象:2020年8月以降にプログラミングスクールを受講した18~80歳の男女1,000名  調査手法:インターネット調査

PHPでフォームの二重送信を防止する方法について、TechAcademyのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。

そもそもPHPについてよく分からないという方は、PHPとは何なのか解説した記事を読むとさらに理解が深まります。

 

なお本記事は、TechAcademyのオンラインブートキャンプPHP/Laravel講座の内容をもとに紹介しています。

 

田島悠介

今回は、PHPに関する内容だね!

大石ゆかり

どういう内容でしょうか?

田島悠介

PHPでフォームの二重送信を防止する方法について詳しく説明していくね!

大石ゆかり

お願いします!

 
この記事は、PHPプログラムでフォームの二重送信を防止する方法について解説した記事です。

PHPプログラム内で、Web技術の1つ「セッション」を使用する防止方法について解説します。「セッション」についてあまり理解てきていないという方は、「セッション」についての理解しておくと、この記事で解説している内容について理解しやすいと思います。
 

目次

 

二重送信の概要と原因

二重送信とは、例えば個人情報を登録するWebページで個人情報登録フォームを入力し終えた後に「登録」ボタンを押したとします。その後、内部的には、画面からサーバに対して登録をするための「リクエスト」が送信され、サーバ内のプログラムによって、DB(データベース)への登録処理や、登録するデータのファイル出力処理などが行われます。そのような処理が完了した後に画面に対して「レスポンス」が返されます。

そのレスポンスが返却される前に、「登録」ボタンを再度押してしまうと、本来1件しか登録してはいけない個人情報がDBに2件登録されてしまったり、ファイルに2件出力されてしまったりと、システムとしてあってはならないことが起きてしまいます。

これが二重送信と呼ばれる原因の1つの例で、このような二重送信を防止するために画面のプログラムや、サーバのプログラム内に防止対策を施さなければいけません。

この二重送信は、他にも「二重登録」、「二重更新」、「二重リクエスト」と呼ばれることがあります。これらは本質的に同じで、「二重で実行されるシステムとしては行ってはいけない処理」を防止するための処理を実装する必要があります。
 

[PR] PHPを学んで未経験からWebエンジニアを目指す方法とは

二重送信を防止する方法

画面側でJavaScriptによる防止対策を実装する方法もありますが、今回はPHPによるサーバサイドプログラム内で、「セッション」を利用して二重送信を防止する方法について解説していきます。

セッションによる二重送信を防止する手順:

  1. 登録(更新)画面でランダムな文字列の「トークン」を発行する
  2. 発行したトークンをセッション変数に格納する
  3. 画面の送信フォーム内「hidden要素」にPOSTするトークンをセットする
  4. 登録(更新)ボタンが押された場合、サーバプログラムで、セットした「セッション変数のトークン」と「POSTされた(hidden要素の)トークン」を比較する
  5. 比較して一致する場合、その後の処理(フォーム登録情報を登録など)を行う

上記手順の処理を行えば、二重送信が行われた際に、「セッション変数のトークン」と「POSTされたトークン」が異なるため、「二重で実行されるシステムとしては行ってはいけない処理」を防止できます。
 

実際に書いてみよう

それでは、実際に上記に記載した二重送信防止の手順を実装したプログラムのサンプルを見て行きましょう。

index.php:

<?php
session_start();

// 二重送信防止用トークンの発行
$token = uniqid('', true);;

//トークンをセッション変数にセット
$_SESSION['token'] = $token;
?>

<!DOCTYPE html>
<html>
<head>
  <meta charset = "utf-8">
  <title>アカウント登録画面</title>
</head>
<body>
<h1>アカウント登録画面</h1>
<form action = "create_account.php" method="POST">
  <div>
    <span>ID:</span>
    <input type="text" name="id">
  </div>
  <br /><br />
  <div>
    <span>PASSWORD:</span>
    <input type="text"name="password">
  </div>
  <input type="hidden" name="token" value="<?php echo $token;?>">
  <button type="submit" value="登録">
</form>
</body>
</html>

create_account.php:

<?php
session_start();

// POSTされたトークンを取得
$token = isset($_POST["token"]) ? $_POST["token"] : "";

// セッション変数のトークンを取得
$session_token = isset($_SESSION["token"]) ? $_SESSION["token"] : "";

// セッション変数のトークンを削除
unset($_SESSION["token"]);

// POSTされたトークンとセッション変数のトークンの比較
if($token != "" && $token == $session_token) {
  // 登録画面送信データの登録を行う
  echo"アカウント登録が完了しました";

} else {
  echo"ERROR:不正な登録処理です";
}
?>

上記のサンプルコードでは、「index.php」の登録画面を開いた際に、二重送信防止用のトークンを発行し、「登録」ボタンを押されたら、「create_account.php」でセッション変数とフォームのhidden要素にセットされたトークンを比較します。同じだった場合、新規アカウント登録処理を行うようなプログラムとなっています。
 

まとめ

以上、PHPプログラムでセッション技術を利用して、フォーム二重送信を防止する方法について解説しました。

二重送信の防止対策は、画面遷移を伴うECサイトを開発する際など必須の技術と言えるので、二重送信の防止対策についてはしっかりマスターしておきましょう。
 

筆者プロフィール

平野大輝(ひらのだいき)

スキル:PHP・Java・JavaScriptを用いて様々なアプリを開発するWebエンジニア。

 

大石ゆかり

内容分かりやすくて良かったです!

田島悠介

ゆかりちゃんも分からないことがあったら質問してね!

大石ゆかり

分かりました。ありがとうございます!

 

TechAcademyでは、初心者でもPHPやフレームワークのLaravelを使ってWebアプリケーション開発を習得できるオンラインブートキャンプPHP/Laravel講座を開催しています。

挫折しない学習方法を知れる説明動画や、現役エンジニアとのビデオ通話とチャットサポート、学習用カリキュラムを体験できる無料体験も実施しているので、ぜひ参加してみてください。

記事を検索

関連するキーワード

関連する記事

PHPで文字コードの判定を行う方法【初心者向け】

PHPで文字コードの判定を行う方法について解説します。 文字コードとは何なのか説明しているので、ぜひ理解しておきましょう。   そも...
PHP

PHPの抽象クラスの書き方を現役エンジニアが解説【初心者向け】

PHPの抽象クラスの書き方について、TechAcademyのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。   ...
PHP

PHPでスマホサイトとPCサイトを振り分ける方法【初心者向け】

PHPでスマホサイトとPCサイトを振り分ける方法について解説します。   そもそもPHPについてよく分からないという方は、PHPとは何なの...
PHP

PHPで全角文字と半角文字を変換する方法を現役エンジニアが解説【初心者向け】

今回は、PHPで全角文字と半角文字を変換する方法について解説します。実際のコードをもとに解説していきますので、理解を深めていきましょう。   ...
PHP

PHPでSHA256を使う方法【初心者向け】

PHPでSHA256を使う方法について解説します。 ハッシュを生成する書き方について説明しているので、ぜひ理解しておきましょう。   ...
PHP

PHPのfgets関数でファイルの読み込みを行う方法【初心者向け】

この記事ではPHPによるファイル読み込みについて説明していきます。 そもそもPHPが何か分からない場合は、先にPHPとはの記事をご覧ください。 &n...
PHP

あわせてよく読まれている記事

有名なトークンやメリットを紹介!Ethereumの「ERC20」とは

今回は、ERC20について解説します。 イーサリアムベースのトークンで、すでに動いているサービスでも使われています。ERC20を使うメリットや代表的なトークンを紹介しています。 どういったプロジェクトに活用されているのか知っておくと今後の可能性についても知れるでしょう。     田島悠介 今回はERC20について説明しよう。 大石ゆかり 田島メンター!ERC20というのは何ですか~? 田島悠介 これはトークンの基準に関係するものなんだ。ERC20の前に、まずはトークンについての話をしようか。 大石ゆかり お願いします! ERC20とは ERC20とは、(Ethereum Request for Comments: Token Standard #20)の略で、イーサリアム(Ethereum)が定義するトークンの名称です。 トークン(Token)とは、ブロックチェーン上の資産やユーティリティの総称です。2018年初頭現在発行されているトークンは、価値はあるが法律的な担保がないという意味で、トレーディングカードのような位置づけになります。 イーサリアム(Ethereum)とは、ビットコインに代表するブロックチェーンを利用した仮想通貨の1つです。 Ethereumは、ビットコインと異なり、スマートコントラクトという契約機能に代表される追加機能を実装することができることで、ビットコインと異なる人気を集めています。 トークンは特定のサービスを利用する場合に使用できるものと、有価証券のような使用方法があります。   トークンの種類 トークンは仮想通貨とは異なります。 トークンの価値としてはユーティリティートークン(Utility Token)とセキュリティートークン(Security Token)の2種類あります。   ユーティリティートークン(Utility Token) 投票機能などのユーティリティー(Utility)を持っています。 ユーティリティートークンは、所有者が異なるサービスを購入する際にも利用できます。   セキュリティートークン(Security Token) セキュリティトークン(Security Token)は、投資目的に利用しやすいタイプのトークンです。 また、法人、資本、利益、債権者、債務者の情報にアクセスする権利も付属している場合があります。 その意味でも、トークンの所有者が投資利益を得るための有価証券のような意味合いを持っています。   [PR] PHPを学んで未経験からWebエンジニアを目指す方法とはトークンが統一されるメリット トークンがERC20に統一される前、仮想通貨毎にトークンが存在しました。 つまり、トークンを取得する際と、トークンを使用する際に、トークン毎のプロトコルに応じたプログラムを実装する必要がありました。プロトコルとは、プログラムを動作させる上での規約のことです。 例えば、ICOでトークンを取得して、取引所で交換して、ウォレットで確認するという作業を行う場合、ICO、取引所、ウォレットの3箇所でトークンの数だけ別のプログラムを必要としました。 その後、トークンがERC20に統一されたことで、ICOする場合も、取引所で取引する場合も、ウォレットを利用する場合も統一されたプロトコルでプログラムを実装することで済むというメリットが生まれたのです。 トークンがERC20に統一されたことは、多くのエンジニアがERC20というプロトコルで発生する問題点を探し出し、いち早く修正できるので、セキュリティー上もより安全になります。   田島悠介 ERC20に関する概要だよ。 大石ゆかり イーサリアムによって定義された、トークンの規格のひとつなんですね。 田島悠介 次にERC20に対応したウォレットを挙げてみよう。 ERC20に対応するウォレットの種類 MyEtherWallet(マイイーサウォレット) Myetherwalletはディスクトップのブラウザとペーパーウォレットで利用することが出来るイーサリアムトークン用のウォレットです。 お財布の作り方というリンクをクリックすることでMyetherwalletのウォレット作成方法の説明を読むことができます。 ただし、説明自体は現段階では英語で表示されているので簡単にウォレット作成方法を解説します。 1.パスワード設定 パスワードはMyetherwalletでは9文字以上のパスワードを推奨しています。 2.Keystoreファイルと秘密鍵の保存 パスワード入力後にKeystoreファイルと秘密鍵の保存を行います。 ファイルはダウンロードします。 秘密鍵は印刷するか手書きで書き取るか、頭の中に暗記します。 このKeystoreファイルと秘密鍵は資産管理上最重要情報ですので厳重に保管して下さい。 MyEtherWallet(マイイーサウォレット)   Metamask(メタマスク) MetamaskはChromeの拡張機能追加をすることで利用可能なウォレットです。 Chromeのダウンロードはこちらからできます。 まず、拡張機能を追加する場合は、Metamaskの拡張機能ページに進んで頂きます。 次に、Chromeに追加のボタンをクリックしていただくことで機能追加することが可能です。 拡張機能を追加後、Chromeの右上のMetamaskマークをクリックすることでMetamaskを起動することができます。 Metamask   HB Wallet(HBウォレット) HB Walletは、これまでのウォレット異なり日本のbacoor株式会社が提供しており、スマートフォンに対応しているEthereumウォレットです。 また、HB WalletはEthereumトークンのウォレットでもあります。 ダウンロード AndroidでもiPhoneでもHB Walletは提供されています。 使用言語を選択します 新しいウォレットを作成することができます   すでに取引されているERC20トークン ERC20トークンはオープンソースで公開されているEthereumのgithubページで公式情報が記載されています。 現在ERC20を採用しているトークンは全世界で2000以上存在します。 今回は、coinmarketcapというサービスに表示されている、人気のある代表的なERC20トークンを紹介します。   EOS EOSは組織運営や企業内でスマートコントラクトを利用することで、効率的で透明性の高い運用を行うことができます。このサービスでは、EOSという通貨単位を使用します。 EOSのトークン自体は現在資金調達のために発行されており、EOSのトークン自身でなにか行うことはできません。   TRON TRONは、シンガポールのTRON財団が開発した仮想通貨でTRXという通貨単位を使用します。 クリエイターを応援するという目的のために発行されています。 今後、クリエーターが発信するサービスや製品に対しトークンを利用することが予想されます。   VeChain VeChainは、中国のBitSEという企業が開発しているプラットフォームで、VENという通貨単位を使用します。 中国Louis Vuittonの元CIO(最高情報責任者:chief information officer)である陸揚氏がCOO(最高執行責任者:Chief Operating Officer)として経営に参画しています。 サービス内容としては、商品が本物か偽物なのかを判定するプラットフォームです。Louis Vuittonは中国でも偽物が多く、その経験からVeChainが生まれたようです。   ICON ICONは、韓国で開発された分散プラットフォームで、ICXという通貨単位を使用します。 ICONネットワークは、金融、保険、医療、大学などの分野で利用されています。   OmiseGO OmiseGOは、決済システムの分散プラットフォームで、OMGという通貨単位を使用します。 東南アジアにはクレジットカードも銀行口座も持っていない人が多くいます。そのため基本は法定通貨を使うことがメインになりますが、OmiseGOを使うことで法定通貨と仮想通貨を自由に横断し、決済することができます。 複数の決済ネットワークを使った取引を迅速にかつ低コストで行えるのが特徴です。   以上、ERC20について解説しました。 トークンはこれから先様々な事業者が発行するものになるはずです。すでに動いているプロジェクトを知ることでブロックチェーンがどう活用できるのか理解できるでしょう。   田島悠介 最後に、実際のERC20トークンの例もいくつか見てみたよ。 大石ゆかり ERC20はICOでよく使われているのが分かりますね。 田島悠介 各プロジェクトへのリンクも貼っておいたので、実際に見てどういうものなのか確かめてみるのもいいね。 大石ゆかり そうですね、観察してみます。ありがとうございました! この記事を監修してくれた方 中本賢吾(なかもとけんご) アジマッチ有限会社 代表取締役社長 開発実績:PHPフレームワークを利用した会員制SNS・ネットショップ構築、AWSや専用サーバー下でLinuxを使用したセキュアな環境構築、人工知能を利用したシステム開発、店舗検索スマホアプリ開発など。 その他にも地域の職業プログラマー育成活動を行い、2018年には小学生がUnityで開発したオリジナルAndroidアプリをGooglePlayでリリース。ゲームで遊ぶより作ろうぜ!を合言葉に、小学生でも起業できる技術力を育成可能で有ることを証明し続けている。
ブロックチェーン

仮想通貨を知る上で欠かせない!「トークン」とは【初心者向け】

今回は、トークンについて解説します。 2017年様々なICOプロジェクトが世界中で生まれ同時にトークンもたくさん生まれました。トークン自体はどういった価値があるのか、仮想通貨との違いは何なのか知っておきましょう。 トークンが生み出す経済圏トークンエコノミーの記事も合わせてご覧ください。     田島悠介 今回はトークンについての話をしようか。 大石ゆかり 田島メンター!トークンというのは一体どういうものなんですか〜? 田島悠介 ブロックチェーン上の独自の通貨のことを指して呼んでいるんだ。どういった種類のものがあるのか見てみよう。 大石ゆかり 了解です! トークンとは トークン(Token)とは、ブロックチェーン上の資産やユーティリティの総称です。 Tokenを日本語に訳すと代用貨幣という意味です。 2018年初頭現在発行されているトークンは、価値はあるが法律的な担保がないという意味で、トレーディングカードのような位置づけになります。   トークンの種類 現在、90%以上のトークンはイーサリアム(Ethereum)が定義するERC20というトークンを利用して発行されています。 ERC20のトークン一覧はこちらを参考にして見てください。   トークンの価値 トークンの価値としてはユーティリティートークン(Utility Token)とセキュリティートークン(Security Token)の2種類あります。   ユーティリティートークン(Utility Token) 投票機能などのユーティリティー(Utility)を持っています。 ユーティリティートークンは、所有者が異なるサービスやサービスを購入する際にも利用できます。   セキュリティートークン(Security Token) セキュリティトークン(Security Token)は、投資目的に利用しやすいタイプのトークンです。 また、法人、資本、利益、債権者、債務者の情報にアクセスする権利も付属している場合があります。 その意味でも、トークンの所有者が投資利益を得るための有価証券のような意味合いを持っています。 英語記事参照(https://en.bitcoinwiki.org/wiki/Token)   [PR] PHPを学んで未経験からWebエンジニアを目指す方法とは仮想通貨との違い 仮想通貨との違いを厳密に定義することはできません。 ただ、多くのトークンがイーサリアム(Ethereum)が定義しているERC20を使用しており、イーサリアム(Ethereum)自体は独自のブロックチェーンで動作しています。 その観点から考えると、ビットコインやアルトコイン(イーサリアム等)は仮想通貨であり、仮想通貨はそれぞれ独自ブロックチェーンで動作していると言えます。 そしてトークンは、ERC20のように既存ののイーサリアム(Ethereum)の持つブロックチェーンを利用しているという点が仮想通貨とは異なります。   田島悠介 ユーティリティートークン・セキュリティトークンの特徴と、仮想通貨との関係についてだね。 大石ゆかり もともとあるブロックチェーンから作られたものをトークンとしているんですね。 田島悠介 最後にトークンを取得する方法についても紹介しよう。 トークンの取得方法 現在はカレンシートークンとアセットトークンというトークンを取得することができます。   カレンシートークンタイプ マイニングを通じて取得することができます。 マイニングとは、ビットコインで計算処理を行い、ブロックを生成することです。   アセットトークンタイプ ICOを通じて取得することができます。 アセットトークンは株式上場のように、発行者が発行枚数を決めることができます。 株式相場のように、発行者のビジネスが成功すれば価値も上がるという性質もを持ちます。   今回は、トークンについて解説しました。 田島悠介 カレンシータイプ・アセットタイプのトークンについての解説をしたよ。 大石ゆかり カレンシータイプのマイニングは、ビットコインなどの仮想通貨で行われていたものでしたね。 田島悠介 そうだね。対してアセットタイプの場合はマイニングは行われないんだ。実際の運用例などからそれぞれの違いを比べてみるのもいいね。 大石ゆかり そうですね、自分でも調べてみます。ありがとうございました!   この記事を監修してくれた方 中本賢吾(なかもとけんご) アジマッチ有限会社 代表取締役社長 開発実績:PHPフレームワークを利用した会員制SNS・ネットショップ構築、AWSや専用サーバー下でLinuxを使用したセキュアな環境構築、人工知能を利用したシステム開発、店舗検索スマホアプリ開発など。 その他にも地域の職業プログラマー育成活動を行い、2018年には小学生がUnityで開発したオリジナルAndroidアプリをGooglePlayでリリース。ゲームで遊ぶより作ろうぜ!を合言葉に、小学生でも起業できる技術力を育成可能で有ることを証明し続けている。
ブロックチェーン

PHPでセッションを使う方法【初心者向け】

プログラミング初心者向けに、PHPの基礎を紹介する記事です。 今回は、PHPでセッションを使う方法について、テックアカデミーのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。 PHPでセッションを使うことで、一度利用したことがあるデータを再利用できます。 実務でも、PHPでセッションを利用してログインフォームを使いやすくするため、ぜひ学習してみてください。 また、開発環境はXAMPPを使っています。   目次二重送信の概要と原因二重送信を防止する方法実際に書いてみようまとめ筆者プロフィール   そもそもPHPについてよく分からないという方は、PHPとは何なのか解説した記事を読むとさらに理解が深まります。   今回の記事の内容は動画でもご覧いただけます。 テキストよりも動画の方が理解しやすいという場合は、次の3種類の動画を覧ください。   セッションとは セッションとは、コンピュータのサーバ側に一時的にデータを保存する仕組みのことです。 サーバに保存されたセッションIDと、ブラウザに保存されたPHPSESSIDが一致するかどうかで、セッションデータを利用します。 たとえば、Web上でのログイン情報など、ユーザーに直接ひもづくようなデータをセッションに保存し、再利用が可能です。 セッションに保存したデータを利用して次回ログインページを開いたときも、再度ログインすることなくログイン状態にしておくことが可能です。 セッションは、Cookie(クッキー)の仕組みととても似ていますが、Cookieはブラウザ側、セッションはサーバ側と、保存場所が異なります。 Cookieはブラウザ側に保存され、セッションはサーバ側に保存されます。 サーバ側に保存されるため、セッションのほうがよりセキュリティ的に安全だと言われています。   大石ゆかり セッションというの何でしょうか?Cookieとは違うんですか? 田島悠介 簡単にすると、Cookie+サーバ側にもファイルを作成するっていうのがセッションかな。 大石ゆかり Cookieって相手のブラウザのメモ帳にデータを記録しておくことですよね。サーバ側にも書いておくんですか? 田島悠介 セッションの場合は、相手には同じになりにくい一意の数値(ハッシュ値)だけを渡しておくんだ。そして、サーバ側では、その数値名でファイルを作成するんだよ。とりあえず、使い方などを見てみよう!   セッション関数と変数 ここではセッション関数とセッション変数を一覧で紹介します。 関数 用途 session_start() セッション処理開始 session_id() セッションID確認 session_name() セッション名確認 session_regenerate_id() セッションID再発行 session_unset() セッション変数削除 session_destroy() セッションデータ削除 $_SESSION[変数名] グローバルセッション変数   [PR] PHPを学んで未経験からWebエンジニアを目指す方法とはセッションの使い方 ここではセッションの使い方を紹介します。   session_start() セッションは、 session_start関数 を使って開始し保存が可能です。 session_start()処理は、PHPファイルの先頭に記載する必要があります。 <php session_start() session_id() 次のコードでセッションIDを確認できます。 echo session_id(); session_name() 次のコードでセッション名を確認できます。 echo session_name(); session_regenerate_id() 次のコードでセッションIDを再発行できます。 session_regenerate_id(); session_unset() 次のコードでセッション変数を削除できます。 session_unset(); session_destroy() 次のコードでセッションデータを削除できます。 session_destroy(); $_SESSION[変数名] 次のコードで、スーパーグローバル変数であるセッション変数を利用できます。 スーパーグローバル変数とは、PHPプログラム内であればどこからでも呼び出せる変数です。 $_SESSION[変数名]='代入する値'   セッションデータを保存してみよう ここでは、セッションデータを保存してみましょう。   サンプルコード <?php session_start(); $_SESSION["username"] = "yamada"; 実行結果 解説 <?phpでは、PHPを開始しています。 session_start();では、セッション処理を開始しています。 $_SESSION[“username”] = “yamada”;では、グローバル変数であるセッション変数に、usernameを指定して、yamadaというデータを代入しています。 ブラウザ側ではなにも表示されませんが、サーバ側ではセッションに yamada というデータが保存さています。   セッションデータを取得してみよう ここでは、セッションデータを取得してみましょう。 サンプルコード <php session_start(); $_SESSION["username"] = "yamada"; echo $_SESSION["username"]; 実行結果 解説 <?phpでは、PHPを開始しています。 session_start();では、セッション処理を開始しています。 $_SESSION[“username”] = “yamada”;では、グローバル変数であるセッション変数に、usernameを指定して、yamadaというデータを代入しています。 echo $_SESSION[“username”];では、セッションデータを表示しています。 セッションはサーバ側に保存されているため、たとえ違うWebページにまたがっても、同じセッションを取り出すことができます。   セッションを削除してみよう ここでは、セッションを削除してみましょう。   サンプルコード <?php session_start(); $_SESSION[‘username’] = ”yamada”; unset($_SESSION[‘username’] ); echo $_SESSION[‘username’] ; 実行結果 解説 <?phpでは、PHPを開始しています。 session_start();では、セッション処理を開始しています。 $_SESSION[“username”] = “yamada”;では、グローバル変数であるセッション変数に、usernameを指定して、yamadaというデータを代入しています。 unset($_SESSION[‘username’] );では、セッション変数を削除しています。 echo $_SESSION[‘username’] ;では、セッション変数を表示しようとしています。 しかし、直前でセッション変数を削除したため、セッション変数であるusernameはないと表示されます。 このようにセッションでは、セッションに名前をつけて、変数のように値を入れて使い回すというようなことができます。   おわりに セッションを利用することで、データをサーバ側に保存することができました。 サーバ側で保存したセッションIDと、ブラウザ側のPHPSESSIDが一致することでセッションデータを利用できました。 PHPをさらに勉強したい場合は、PHPでCookieを使う方法 もあわせてご覧ください。   大石ゆかり session_start関数が呼ばれて、その後に$_SESSIONっていうスーパーグローバル変数が使えるようになるんですね。 田島悠介 セッションがスタートされると、相手側に同じになりにくい番号が送られて、サーバ側にもその名前でファイルが作成されるんだ。XAMPPだとhtdocsフォルダと同じ階層のtmpフォルダに作成されてるよ。 大石ゆかり $_SESSIONに何か書き込んだ場合っていうのは、そのファイルに書き込んだってことなんですか? 田島悠介 そうそう。tmpフォルダに、相手に送ったCookieと同じ数値っぽい名前のファイルが作成されていて、$_SESSIONに書いたものは全部このファイルに書かれるんだよ。相手に送るCookieは、セッションの場合は、常に数値だけなんだ。番号札って考えるとわかりやすいかも。   PHPを学習中の方へ これで解説は終了です、お疲れさまでした。 つまずかず「効率的に」学びたい 副業や転職後の「現場で使える」知識やスキルを身につけたい プログラミングを学習していて、このように思ったことはありませんか? テックアカデミーのPHP/Laravelコースでは、第一線で活躍する「プロのエンジニア」が教えているので、効率的に実践的なスキルを完全オンラインでしっかり習得できます。 合格率10%の選考を通過した、選ばれたエンジニアの手厚いサポートを受けながら、PHP/Laravelを使ったWebアプリケーション開発を学べます。 まずは一度、無料体験で学習の悩みや今後のキャリアについて話してみて、「現役エンジニアから教わること」を実感してみてください。 時間がない方、深く知ってから体験してみたい方は、今スグ見られる説明動画から先に視聴することをおすすめします!
PHP

新たな経済圏!仮想通貨が作り出すトークンエコノミーとは

今回は、トークンエコノミーについて解説します。 仮想通貨やICOなど今まで体験したことのないイノベーションが多く起きています。お金の流れがどんどん変わってきていますが、どういったプロジェクト、トークンが生まれているのかぜひ知っておきましょう。     田島悠介 今回はトークンエコノミーについて解説しよう。 大石ゆかり 田島メンター!トークンエコノミーとはどういったものなんですか〜? 田島悠介 トークンという代替通貨による経済圏のことを言うんだ。詳しく見ていこうか。 大石ゆかり はい! トークンエコノミーとは トークンエコノミーとは、ビットコインやイーサリアム(Ethereum)で使用されているブロックチェーンを利用した新しい経済圏です。トークンエコノミーでは、世の中に存在する事物やサービスの権利や価値をトークンに置き換え、売買することで経済圏を成立させています。 トークンとは、代替通貨という意味で、法的根拠が無い現在では、非常に価値のあるトレーディングカードのような位置づけになります。 また、2018年初頭現在のトークン発行の90%以上はイーサリアム(Ethereum)が定義しているERC20を使用しています。   田島悠介 トークンエコノミーに関する基本的な説明だね。 大石ゆかり 私たちが普段使っているお金とは違うものによる経済ということでしょうか。 田島悠介 次に、国内外で利用されているトークンエコノミーの例を見てみよう。 海外トークンエコノミーの例 Golem Network Golem Networkでは、各ノードのコンピューター性能をトークンとしています。 コンピューターの計算リソースをトークンとしているものには、MadesafeやEnigmaがあります。 Golem Network   Lisk Liskでは、DApps(分散型アプリケーション)と呼ばれる非中央集権型のブロックチェーンプラットフォームを立ち上げることができます。 DAppsはプライベートチェーンです。 トークンエコノミーとしてのLiskは、プラットフォームのネットワーク利用をトークンとしています。 Lisk   Digix DAO (DGD) Digix DAO (DGD)は現物の金をトークンとしています。 Proof of Assetという独自の技術で取引を監視することで、カウンターパーティリスクを減らしています。 カウンターパーティリスクとは、取引相手が倒産などの理由で、支払いに対して金を担保するトークンの支払いを行わないリスクです。 また、サービスやデジタルデータをトークンとするトークンエコノミーと異なり、現物の金をトークンとしていることで、価値が無くなるリスクも最小限に抑えることが出来ます。 Digix DAO   Komodo Komodoプラットフォームというブロックチェーンの様々な技術をトークンにしています。 Komodoプラットフォーム自体が広まることで、トークンの価値も上がります。 現在公式ページで開発中の製品やサービスは次のとおりです。 BarterDEX:分散型取引所技術 Jumblr:分散型匿名化技術 Delayed Proof of Work:遅延生Pow技術 その他、分散型法定通貨や、ブロックチェーン製品を簡単に作成できる製品 komodo   [PR] PHPを学んで未経験からWebエンジニアを目指す方法とは国内トークンエコノミーの例 Memorychain(メモリーチェーン) メモリーチェーンは、デジタルデータのカードをトークンとしています。 どのようなカードがあるかは、こちらのサイトを参考にしてみてください。 また、Memorychain(メモリーチェーン)需要の増加により、Memorychain(メモリーチェーン)をハードフォークしたオアシスマイニング(OasisMining)も始まりました。 ここでは、Memorychain(メモリーチェーン)やオアシスマイニング(OasisMining)の取引ではなく、その存在価値がトークンという用語を理解する上で非常に分かりやすい点に着目しています。 トークンとは、法的担保が無いトレーディングカードの様なものという説明と、これらのトークンエコノミーとを併せて見ていただくことで、トークンエコノミーのリスクとリターンについてのご理解が深まるかもしれません。   今回は、トークンエコノミーについて解説しました。   田島悠介 海外や国内で展開されているトークンエコノミーを扱ったサービスをいくつか紹介したよ。 大石ゆかり メモリーチェーンというサービスを見てみましたが、色々なカードがあって何だか面白そうでしたね。 田島悠介 興味があるものがあったら実際に参加してみて、トークンエコノミーがどういうものなのか体験してみるのもいいね。 大石ゆかり そうですね、調べてみます。ありがとうございました!   この記事を監修してくれた方 中本賢吾(なかもとけんご) アジマッチ有限会社 代表取締役社長 開発実績:PHPフレームワークを利用した会員制SNS・ネットショップ構築、AWSや専用サーバー下でLinuxを使用したセキュアな環境構築、人工知能を利用したシステム開発、店舗検索スマホアプリ開発など。 その他にも地域の職業プログラマー育成活動を行い、2018年には小学生がUnityで開発したオリジナルAndroidアプリをGooglePlayでリリース。ゲームで遊ぶより作ろうぜ!を合言葉に、小学生でも起業できる技術力を育成可能で有ることを証明し続けている。
ブロックチェーン

PHPでセッションハイジャック対策を行う方法を現役エンジニアが解説【初心者向け】

今回は、PHPでファイルの存在を確認する関数の使い方について解説します。   そもそもPHPについてよく分からないという方は、PHPとは何なのか解説した記事を読むとさらに理解が深まります。   なお本記事は、TechAcademyのオンラインブートキャンプPHP/Laravel講座の内容をもとに紹介しています。   田島悠介 今回は、PHPに関する内容だね! 大石ゆかり どういう内容でしょうか? 田島悠介 PHPでファイルの存在を確認する関数の使い方について詳しく説明していくね! 大石ゆかり お願いします!   セッションハイジャックとは セッションハイジャックとは、何らかの方法でセッションが乗っ取られることを指します。セッションが乗っ取られることにより、ユーザの権限を使われて不正な操作をされたり、ユーザの個人情報・重要情報が盗まれる場合があります。つまり、「なりすまし」による不正アクセスが可能になります。 ユーザはHTTPアクセス(WEBサイトを観覧したりするときの通信)によって、様々なサイトに接続します。その時、ログインをして個人に紐付いた情報を取得するときなどに、HTTPセッションというものを利用します。 通常のHTTPアクセスは状態を保持しない接続(ステートレス)ですので、このHTTPセッションを使うことで、状態を保持した接続ができるようになります。 HTTPセッションのやり取りは、セッションIDというものを使って、個人を識別します。このセッションIDが奪取されると、別のユーザがHTTPアクセスにそのセッションIDを送ることで、元のセッションIDの持ち主として接続が成立します。そのため、元のセッションIDの持ち主になりすますことが可能になります。 セッションハイジャック対策の方法 セッションハイジャックの対策には、セッションIDを奪われないようにすることが必要になります。セッションIDを奪う方法もいくつかあり、それに合わせて対策を行うのが効果的です。それでは、セッションIDを奪う方法とその対策をご紹介します。   セッションIDを推測される セッションIDが単純なロジック(日付やユーザIDなど)で作成されている場合、通常の接続での自分のセッションIDから、他のセッションIDを推測することができます。そのため、総当たりでセッションIDを奪取されます。 対策としては、セッションIDを生成する際に、ユーザや日付などの特定の情報に関連しないIDを生成する、ID生成のロジックに適切な乱数生成アルゴリズムを使う、などがあげられます。   不正アクセスにより、セッションIDを奪取する ユーザの接続に対して、何らかの方法で不正アクセスを行い、直接セッションIDを盗み取ります。例えば、クロスサイトスクリプティングのように、不正なサイトに誘導され、セッションIDを不正表示させるなどにより、取得されます。 対策としては、通信路の暗号化(SSL)や、エスケープ処理などのサニタイズを行うことなどがあります。   セッションIDが固定化される セッションフィクセーション攻撃とも呼ばれている方法です。これは、攻撃者が特定のセッションIDを指定したURLをユーザに接続させることにより、セッションIDをその値に設定します。 これにより、攻撃者が意のままにセッションIDを設定し、そのセッションIDでユーザが接続した後に、設定したセッションIDでユーザに成り代わります。 対策としては、URLなどでセッションIDを設定できないようにすることが必要になります。   [PR] PHPを学んで未経験からWebエンジニアを目指す方法とは実際に書いてみよう それでは、実際にセッションハイジャックの対策を実装してみましょう。同じユーザの接続であっても、毎回違うセッションIDを用いてセッションを保持する方法があります。 これにより、取得されたセッションIDが、次の接続では別のセッションIDになるため、セッションIDが推測されにくくなります。 <?php session_start(); session_regenerate_id(true); if ( $_POST['my_name'] ) { $_SESSION['my_name'] = $_POST['my_name']; } if ( $_SESSION['my_name'] ) { ?> ようこそ<?php echo htmlspecialchars($_SESSION['my_name']); ?>さん<br> <?php } else { ?> <form action="" method="post"> <dl> <dt>名前</dt> <dd><input type="text" name="my_name" id="my_name" /></dd> </dl> <input type="submit" value="送信する" /> </form> <?php } ?> このように、 session_regenerate_id(true); という関数を実行することで、同じセッションでも接続するごとに別のセッションIDが生成され使われるようになります。実際に送信されるセッションIDについては、GoogleChromeの開発者ツールなどで確認することができます。   筆者プロフィール メンターYさん フリーランスエンジニアとして、PHPを中心としたWEB開発全般を行う。最近では、WordPressを使ったメディアの構築・運用を多くこなしている。 元々は大手通信会社のエンジニアで、セキュリティに関する仕事をするも、大企業が肌に合わず独立。一箇所に縛られての仕事を苦手とし、自宅とカフェとコワーキングスペースを行ったり来たりしている。 ただ、自宅にいるとどうしてもゲームをしてしまうため、コワーキングスペースの比率が大きい。   大石ゆかり 内容分かりやすくて良かったです! 田島悠介 ゆかりちゃんも分からないことがあったら質問してね! 大石ゆかり 分かりました。ありがとうございます!   TechAcademyでは、初心者でもPHPやフレームワークのLaravelを使ってWebアプリケーション開発を習得できるオンラインブートキャンプPHP/Laravel講座を開催しています。 挫折しない学習方法を知れる説明動画や、現役エンジニアとのビデオ通話とチャットサポート、学習用カリキュラムを体験できる無料体験も実施しているので、ぜひ参加してみてください。
PHP

PHPでフォームからデータを受け取る方法(GETとPOST)

プログラミング初心者向けに、PHPの基礎を紹介する記事です。 今回は、フォームからデータを受け取る方法について解説します。 最初にフォームの送信方法とPHPでの受け取り方に関しての説明をします。 その後、実際に動くコードを作成してデータの送受信を試していきます。 フォームでのデータのやりとりはWebサイトなどでは基本なので、ぜひ覚えておきましょう。   目次 GETとPOSTとは HTMLのフォーム 送信されるデータ フォームデータの受け取り方 受信データのバリデーション 実際にコードを書いてみよう 開発環境はXAMPPを使っています。   GETとPOSTとは PHPにおけるデータの受け取り方には、GETリクエスト と POSTリクエスト を使う2通りの方法があります。 POSTリクエストはフォームからHTTP通信により送信され、送信データはリクエストの本体に含まれます。 GETリクエストはフォームやリンクからHTTP通信により同じように送信されますが、送信データはURLの最後に?に続いて パラメータ名=値という形式で付加されます。     大石ゆかり フォームを使ってデータを送信できるんですね。 田島悠介 そうなんだ。フォームから送ったデータを、PHPで取得できるんだよ。 大石ゆかり いろいろなところで使われてそうですね。 田島悠介 そうだね。後、フォームじゃないんだけどURLの最後に?p=2とか/p2/もGETでデータを送ってることになるんだ。 多くは何ページ目とかに使われるね。HTMLでフォームを作って送信してみよう! [PR] PHPを学んで未経験からWebエンジニアを目指す方法とはHTMLのフォーム サーバにデータを送信するためには、HTMLのフォームを使います。 GETリクエストのフォーム フォームの構造は次のようなコードです。 <form action = “index.php” method = “GET”> <input type = “text” name =“comment/“><br/> <input type = “submit” value =“送信/“> </form> formタグのaction属性に送信先のURLを指定します。 送信方法はデフォルトでGETリクエストですが、method属性で POSTかGETに指定できます。 formタグ内の inputタグの値が送信するデータです。 この時、name属性がリクエストパラメータ名になり、value属性の値やテキストボックスに入力された値がそのパラメータの値です。 上のコードでは、フォームのデータは、commentというパラメータ名で入力値とのペアで送られ、送信方法はGETリクエストになり、送り先は index.php です。 POSTリクエストのフォーム POSTリクエストにしたい場合は、次のようにform要素のmethod属性をPOSTに変更するだけです。 <form action = “index.php” method = “POST”> <input type = “text” name =“comment/“><br/> <input type = “submit” value =“送信/“> </form> 送信されるデータ ここでは、例としてcommentという名前属性のinput要素に hogehogeという文字を入力して送信するとしましょう。 GETリクエストのデータ データがURLの一部として含まれてサーバに送られます。 送信先は index.phpとすると、URL全体は次のようになります。 http://index.php?comment=hogehoge ここで注目していただきたいのは、後に付けた?comment=hogehogeの部分です。 GETリクエストのデータは基本的には、 ? の後に パラメータ名=値のペアの形式で送られます。 複数のデータの場合は、間を & でつなげます。 http://index.php?comment=hogehoge&title=hello このURLで送られるのは、 comment=hogehogeとtitle=helloという2つのデータ(パラメータ名=値のペア)です。     フォームデータの受け取り方 GETリクエストで送信したデータを受け取る GETリクエストで送信したデータは、グローバル変数である $_GET に連想配列という形で入っています。 そこで、PHPでデータを受け取るときは、この $_GET を使います。 先ほどの例では、comment=hogehogeというデータが送られましたが、$_GETには、[‘comment’ => ‘hogehoge’] という連想配列で保存されます。 $_GETからデータを受け取るには、受け取りたいinput要素の name属性
PHP

あなたの目的に合わせて学べるコース

副業したい方

Web制作の力を身につけ
副業までサポート

はじめての副業コース

転職したい方

未経験から
Webエンジニアに

Webエンジニア転職保証コース

スキルアップしたい方

AIも統計解析もできる
Pythonを学ぶ

Pythonコース

※ 経済産業省の行うリスキリングを通じたキャリアアップ支援事業の補助金対象コースです。条件を満たすことで支払った受講料の最大70%がキャッシュバックされます。詳しくは こちら のページをご確認ください。

TechAcademyから
現役エンジニアの方へ
お知らせ

オーダーメイドコース
TechAcademy(テックアカデミー) プログラミング PHP PHPでフォームの二重送信を防止する方法を現役エンジニアが解説【初心者向け】