・3,single-regist.phpの30行目のfile_put_contents()が確認画面ありの場合に追加されており、その意図が分からないので教えてください。 質問の意味がわかりませんが、アップロードされたファイルを保存しているだけです。 確認画面なしでは別のタイミングで保存しているのかと。

先ほどの回答は勘違いでした。 －－－－ //文字列を文字または文字列で分割し、配列にして返す $type = explode('/', $_SESSION['attach']['type'][$i]); －－－－ 例えば、$_SESSION['attach']['type'][$i]の値が　image/jpeg　だった場合、スラッシュ'/'で分割した配列はこうなります。 $type[0]　image $type[1]　jpeg それで　[1]　を拡張子として使っています。 　$ext = $type[1]; typeは他に以下のようなものなので、 image/png video/mp4 application/pdf 今のところ、スラッシュ以降が拡張子として使える、と言うものです。

2,single-regist.phpの24行目の配列を2個の要素にした理由は何でしょうか？2次配列という意味ではないと思いますのですが参考サイトを見ても分かりませんでした。 理由は、$_FILESに合わせた、です。 質問者さまのコードでは、contact-confirm.phpで、このように書かれていました。 －－－－ $_SESSION['attach_data'][$key] = $data; $_SESSION['attach_mime'][$key] = $mime_type; －－－－ 私のサンプルの同様の部分はこうです。 －－－－ $_SESSION['attach']['data'][$i] = $data; $_SESSION['attach']['type'][$i] = $_FILES['attach']['type'][$i]; －－－－ 質問者さまのコードに合わせるとこんな感じになります。 －－－－ $_SESSION['attach_data'][$i] = $data; $_SESSION['attach_type'][$i] = $_FILES['attach']['type'][$i]; －－－－ なぜこうしなかったのか。 $_FILESに合わせれば。 ['attach']['type']　をコピーして貼り付ければ入力ミスしない。 元の構成を引き継いだ方が、元がわかりやすく互換性がある。 と言ったところです。 ただ、これだと階層が深くなるので、質問者さまのコードの方がいいような気がします。

・テーブルごとの削除はおすすめ出来ないと教えて頂いたと記憶しているのですが、合ってますでしょうか？ なんとなく覚えているのは。 なにか不自然なＳＱＬ文をみたような。 削除するのはテーブルやカラムやフィールドではなく、レコードだと説明したような。 https://26gram.com/database-terms こちらの「データベース用語まとめ」の画像から理解していただくようにお願いしたような。 なので、おすすめできないと言うより、そんなことはできない、あるいは、目的が違う、と言うことです。 ・1,データベースの削除部分で TS < %s というコードが出てくるのですが、調べてもよく分かりませんでした。こちらはどのような意味があるのでしょうか？ まず　TS　とはなにか、から。 テーブル定義はこうです。 －－－－ CREATE TABLE `sortable` ( `ID` bigint(20) NOT NULL AUTO_INCREMENT, `TS` TIMESTAMP NOT NULL DEFAULT CURRENT_TIMESTAMP (), `message` VARCHAR (255) NOT NULL, `namae` VARCHAR (255) NOT NULL, `stamp` INT (11) NOT NULL, `select` INT (11) NOT NULL, PRIMARY KEY (`ID`) ) －－－－ TS　はこれです。 `TS` TIMESTAMP NOT NULL DEFAULT CURRENT_TIMESTAMP (), レコードが追加されるとその時点の日時が自動的に設定されます。 いわゆる、登録日時、です。 削除処理はこうです。 －－－－ // 削除対象日付 $delete_date = date('Y-m-d H:i:s', strtotime('-6 days')); // 古い雑談掲示板の取得 // データを取得した時点の日付と時刻を記録 < $wpdb を使って SELECT 結果取得 $sql = 'SELECT ID FROM sortable WHERE TS < %s'; $query = $wpdb->prepare($sql, $delete_date); －－－－ 削除対象日を「６日以前」と決めて「$delete_date」に設定します。 ＳＱＬ文はこうで、置換される変数は「%s」がひとつです。 　$sql = 'SELECT ID FROM sortable WHERE TS < %s'; 実行するクエリの準備はこうです。 　$query = $wpdb->prepare($sql, $delete_date); 対象のＳＱＬ文は「$sql」で、置換する変数のひとつ目に「$delete_date」の値を設定します。 これを実行すると、 削除対象日付は「2023/05/19 16:38:00」とかになり、 実行するクエリの準備結果は、変数置換されこうなります。 　SELECT ID FROM sortable WHERE TS < '2023/05/19 16:38:00' つまり「登録日時が2023/05/19 16:38:00よりも前のレコードのIDを取得する」と言うことになります。

・参考サイトの1から今回何故tokenを実装するのか考えてみたのですが、single-input.phpで名前とメッセージをユーザーが送信しようとしたときに、悪意のある攻撃者があらかじめ作成したコードが実行されてしまうという認識で合ってますでしょうか？ たぶんそうだと思います。 教えていただいたサイトなどを見ながら勉強したのですが、理解しきれずにいます。 理解はともかく、実装する前と後で不正アクセスのテストをすると、実装後は回避できているようなので、あった方がよさそうです。 質問者さまには不要ですが、私のサンプルにテスト用のトークンなしを残しました。 ・表示画面でも確かめているのは念のためという感じでしょうか？ 念のためのような、必須のような感じです。 登録結果画面へは、入力画面や確認画面を経由せず不正アクセスできるので実装しておきました。 不安になったので、確認画面からもトークンを送信するようにしておきました。 実際のところ、入力画面から確認画面へは$_POSTで送信しますが、確認画面から登録結果画面へはデータは送信していませんでした。 確認画面でデータが安全であることが確認された上で$_SESSIONを経由して画面遷移するだけなので、問題ないような気がしていたからです。 トークンを送信するようにしたので、トークンのチェックを追加しました。 ・表示画面(single-regist.php)を表示する前にエラー処理をいれる必要はないでしょうか？ エラー処理と言うかcheck()はもともと呼んでいます。 single-index.php －－－－ switch ($mode) { case 'regist': $namae = $_SESSION['namae']; $message = $_SESSION['message']; $stamp = $_SESSION['stamp']; check(); break; －－－－

・single-input.phpの84行目からのコードはjavaScriptでファイルをバイナリで取得するように書いているんでしょうか？ そうです。 もともと質問者さまのコードをもとにしています。 －－－－ const viewer = document.querySelectorAll('.viewer'); for (let i = 0; i < attach.length; i++) { attach[i].addEventListener('change', () => { if (attach[i].files[0].size > 15 * 1024 * 1024) alert('ファイルサイズが 15MBバイトを超えています'); else { viewer[i].file = attach[i].files[0]; const reader = new FileReader(); reader.onload = (e) => { viewer[i].src = e.target.result; }; reader.readAsDataURL(viewer[i].file); } }); －－－－ 主に変わったのは、<img>がHTMLで最初から用意されていたのを、子要素として追加するようになっただけです。 動的に要素を追加するため、 　const viewer = document.querySelectorAll('.viewer'); の部分が、 　child = document.createElement("img"); になった感じです。 ・トークンについて参考にしていたサイトの1つがサービス提供サイトに変わってしまっていたので、その他に参考にしていたサイトを提示致します。 ありがとうございます。 確認してみます。 ・ファイルをアップロードする部分にあらかじめカメラの画像を設置されるように組む方法が分からないのですが、inputを使うか$SESSIONが必要なのでしょうか？ inputは使いますが$_SESSIONは使いません。 参考サイトを参考に、そのままではありませんが、サンプルに簡易的にカメラ画像を表示するようにしてみました。 カメラ画像は　wp-content\uploads　に　camera.png　で配置する必要があります。 ・ファイルの種類を限定しておくように変更しても問題ないでしょうか？ 問題ありません。

・参考サイトを見て必要なのではと思ったのですが、そうでもないようですね… 確かに、どちらもWordPressで単一テンプレートのパターンにもかかわらず、$noindexaccessを使っていますね。 その真意がわからないため不正アクセス方法が不明でテストできませんが、同じようにしておきますかね。

・$paramを使わない場合dell_okさんが書いたsingle-index.phpの63行目から変更する必要はない気がするのですが、どうでしょうか？ あれからサンプルのコードにいくつか修正したので行数が変わってしまいましたが、新しいサンプルのコードを確認してみてください。 修正点は以下の通りです。 PNG対応 クリックジャッキング対策 ファイルサイズチェック 2重送信防止 ・Q.9,h() 関数の定義名前、メッセージの表示の際に～ ・特殊文字の変換は必要な気がするのですが名前やメッセージの表示に影響はないのでしょうか？ それは、 　function Chk_StrMode($str) の中で、 　$str = htmlspecialchars($str); しているので大丈夫です。 ここを、 　$str = h($str); にするのなら必要になってきますが、 －－－－ function h($str) { return htmlspecialchars($str, ENT_QUOTES, 'UTF-8'); } －－－－ クォートを変換しているため、表示するところで、クォートに戻す必要がでてきます。 今のところ、h()は使わなくてよさそうな気がしています。

・14,トークン生成は入力フォームに必要なので、single-input.phpに書くように考えております。 ・15,トークン確認は名前、メッセージの表示の際に変換が必要なので外部から読み込むように考えています。 いまさらですが、トークンが必要のかどうなのかわからなくなりました。 参考にされたサイトを覚えていたらどこか教えてください。 ・入力フォームの送信ボタンを連打することを防止するコードは必要でしょうか？ あってもなくてもいい気がします。 確認画面がなくて登録されてしまうようなものでしたら、重複登録になるのであった方がよさそうです。 確認画面があるので複数回送信されてもあまり問題はないような気がします。 ・トークンを送信するように変更してみたのですが、コードに間違えはないでしょうか？ トークンとアップロードファイルは無関係ですので、ひとつあれば十分ですので、添付ファイルとは別のところに設置してください。

・5,危険文字列置換ファンクションは名前、メッセージの表示の際に変換が必要なので外部から読み込むように考えています。 ・6,未入力チェックファンクションは名前、メッセージの表示の際に変換が必要なので外部から読み込むように考えています。 外部から読み込むと言うのは、functions.phpに入れると言う意味でしょうか。 それならそれがいいです。 理由は、どこでも使うから、と言うのが妥当です。 ・7,データの受け取りと危険文字列置換 ※Chk_StrMode(文字列);についてはどうすれば良いか分からないため これはややこしいのでうまく説明できません。 $paramを使わないでいいような気がします。 サンプルのように直接$namaeと$messageに適用すればいいと思います。 ・8,アップロードファイルが指定されているか,アップロードに成功しているか←こちらはsingle-regist.phpの15～25行目までのコードの中にif (empty($data)で中の値をチェックしているため必要ないのではと考えております。 そうですね。 それでいいと思います。 ・9,h() 関数の定義名前、メッセージの表示の際に変換が必要なので外部から読み込むように考えています。 これは、この掲示板のためには使わないと思うので、いらない気がします。 他の場面で使うようなことがあればあったでいいと思います。 ・10,ファイルサイズの制限でファイルサイズが 15MBで制限していたのですが、こちらのコードは変更しているためどのように代用すべきでしょうか？ 同じように組み込んでいいと思います。 >追加行 attach[i].addEventListener('change', () => { > if (attach[i].files[0].size > 15 * 1024 * 1024) { > alert('ファイルサイズが 15MBバイトを超えています'); > return; > } del[i].value = ""; if ($mode === 'back') { // confirm.phpで戻るボタンのJavaScriptが動作しなかったケースを捕捉 header('Location: contact-input.php'); exit; } ・11,12,戻るボタンが動作しなかった場合の補足になるのですが、こちらはJavascriptを使用した際にphpで捕捉するように考えられているものなのですが 私のサンプルでは不要です。 どのような操作をした場合、あるいは、サーバーやクライアントが処理した場合、そうなるのかが想定できないので、今のところ不要です。 もしどのようかにして必要となった場合でも、PHPファイルは指定できないので、以下のような書き方にはなりません。 header('Location: index.php'); header('Location: contact-input.php'); このheader()を使うのがあまりよくないと思って、～index.php自分自身に送信する構成にしました。 なので、入力エラーがあった時と同じで、 $mode = ''; としておいて、 default: include 'single-input.php'; に流れる仕組みになると思います。