入力時の自動変換

以下の記述で、対策可能と書いておられますが、注意すべき点が3つありますので、書いておきたいと思います。

追記:「PHPで手っ取り早く対策するには?」と聞かれたので書いておきます。エントリ中にも書いていますが、UTF-8の場合は

mbstrign.strict_detetion = on
mbstring.http_input = auto
mbstring.internal_encoding = utf-8
mbstring.http_output = pass

とします。(strict_detectionを入れ忘れていたので追加しています)

http://blog.ohgaki.net/is-char-encoding-problem-difficult

(1) 間違える人は少ないと思いますが、上記の設定だけでは、入力時の自動変換は有効になりません。mbstring.encoding_translation = On が必要です。
(2) mbstring.http_input に auto や複数の文字エンコーディングを指定すると、最悪の場合は、変換されずにそのまま入力変数($_GET, $_POST など)に渡ってしまうことがあるようです(PHP 5.2.11 で確認)。入力値の不正な文字列を排除することが目的の場合、mbstring.http_input に指定するのは1つだけにした方が良いと思います。UTF-8 の場合は、以下の通りです。この場合、不正な文字列になっている部分のみ削除されます。

mbstring.internal_encoding = UTF-8
mbstring.http_input = UTF-8
mbstring.encoding_translation = On
mbstring.strict_detection = On

(3) PHP のバージョンと設定によっては、mbstring.strict_detection = On の指定は危険です。正確には、PHP 5.1.2 〜 PHP 5.2.8 では、mbstring.http_input に複数の文字エンコーディングを設定(auto の場合を含む)して、不正な文字列を変換しようとすると、無限ループが発生します。以下のコードで無限ループが発生する場合は、mbstring.strict_detection を Off にするか、mbstring.http_input に複数の文字エンコーディングを指定しないでください。

<?php
ini_set( 'mbstring.strict_detection', 1 );
mb_convert_variables( 'UTF-8', 'auto', $a = array( "\xfc" ) );

詳しく知りたい方は、以下を参照してください。

• http://www.asahi-net.or.jp/~wv7y-kmr/memo/php_mbstring.html#mbstring_bug11

enctype="multipart/form-data" を指定した場合の自動変換

以下の部分についてです。

PHPの場合はPerlよりもっと簡単で、コードを一切書き換えなくてもphp.iniの設定をするだけで"自動"バリデーションが行えます。
と自分自身で書いていながら何故、文字エンコーディングのバリデーションが必用なのか?と疑問に思った方も居ると思います。PHPはファイルアップロードを行う場合にフォームに
enctype="multipart/form-data"
を指定すると入力エンコーディングに自動変換は動作しない仕様になっています。enctypeが違っても普通のフィールドも送信できます。もし文字エンコーディング変換を行うなら、これらのフィールドには明示的な文字エンコーディング変換が必用です。つまり、明示的なバリデーションが必用になります。

http://blog.ohgaki.net/is-char-encoding-problem-difficult

「enctype="multipart/form-data" を指定すると、入力エンコーディングで自動変換が動作しない仕様」と書いておられますが、PHP マニュアルには、以下のように記述されています。

注意: PHP 4.3.2 およびそれ以前のバージョンの場合、HTML フォームのenctype が multipart/form-data に設定された場合、mbstring は、POST データの文字エンコーディングを変換しません。この場合、文字列を内部文字エンコーディングに変換してやる必要があります。
PHP 4.3.3 以降、HTML フォームの enctype が multipart/form-data に設定され、かつ、php.ini において mbstring.encoding_translation に On が指定されている場合、POST データの変数とアップロードされたファイルの名前の文字エンコーディングは、内部文字エンコーディングに変換されます。ただし、クエリキーに関しては、変換されません。

http://php.net/mbstring.http

マニュアルでは、「PHP 4.3.3 以降では、php.ini で mbstring.encoding_translation = On に設定し、enctype="multipart/form-data" で HTML フォームを送ると、内部文字エンコーディングに変換する」と読めます。実際、試してみたところ、PHP 4.4.9 では、enctype="multipart/form-data" で HTML フォームを送っても、自動的に文字エンコーディングが内部エンコーディングに変換されました。仕様としては、マニュアルで正しいと思います。
ただし、PHP 5.2.11 や PHP 5.3.0 では、変換されませんでした。この件については、以下で報告されていましたが、結局修正されなかったようです。

• [PHP-dev 1392] mbstring関連での微妙な挙動について

mbstring がデフォルトモジュールになったのは、PHP 4.0.6 から

PHP 4.2からmbstringはデフォルトモジュールとなりました。デフォルトモジュールすべきと提案したのは私だったのでよく覚えています。 mbstringにはインプットを自動的に内部文字エンコーディング変換する機能とアウトプットに指定した文字エンコーディングを自動変換する機能を持っています。

http://blog.ohgaki.net/is-char-encoding-problem-difficult

mbstring は、4.0.6 で導入されたと記憶しています。PHP 4.2.0 では、mbregex(マルチバイト正規表現モジュール) が導入されました。

誤字・脱字について

大垣さんの文章に、以下のような記述がありました。

久しぶりにアマゾンのレビュー見ましたが、ほんと酷い評価（苦笑でもセキュリティ標準を読んだ事がある、せめて名前や内容を正しく解説できるWeb開発者はあたり前にいるとは思えません。誤字・脱字は自分でも見つけましたが、こういう本の評価に重要なのでしょうか？内容が正しいかどうかは技術者であれば判断できると思います。もしかしてコード監査で酷い目に合わせてしまった方なのかな？（汗

http://blog.ohgaki.net/char_encoding_must_be_validated

個人的には、本を買う際に誤字・脱字を結構気にする方なので、誤字・脱字が目立つ本はあまり買いません。これは、重要な部分にまで間違いがありそうで信用できなくなるためです。「内容が正しいかどうかは技術者であれば判断できる」とのことですが、勉強のために本を買う人に対してそれを期待するのは酷な気がします。
また、あまり人にえらそうに言えるた立場ではないのですが、大垣さんの文書は、誤字・脱字などの間違いが多いような気がします。誰でも、少しくらいは誤字・脱字があるものですし、あまり神経質になることはないと思うのですが、あまりに多いと文書全体が信用できなくなる気がします。それがどれだけ良い文書だったたとしても、読者から信用がないと、主張は伝わらないと思います。

コメントへの返信(2009.09.22)

大垣さんから以下のコメントをいただきましたが、少し長くなるのでこちらで返信します。

追記(2009.10.13)

誤字・脱字を修正しました。