入力クラス

入力クラスには2つの目的があります:

グローバルな入力データをセキュリティのために前処理します。
入力データを取り出し、前処理するためのヘルパメソッドを提供します。

Note:このクラスは、システムで自動的に初期化されるので、手動で初期化する必要はありません。

セキュリティフィルタリング

セキュリティフィルタ機能は、新しいコントローラが起動されると自動的に呼び出されます。フィルタ機能は、次のことを行います:

グローバルな GET 配列($_GET) のデータを消去します。CodeIgniterではGET文字列（クエリ文字列）を使わないので、それを許可する理由はありません。
register_globals がONに設定されているときにセットされるグローバル変数は消去されます。
英数字 (と少数の他の文字) だけを許可するよう POST/COOKIE 配列のキーがフィルタリングされます。
XSS (クロスサイトスクリプティング攻撃) フィルタリングを提供します。この機能は、グローバルまたは、リクエストごとに有効化できます。
改行文字を \n に統一します。

XSS フィルタリング

入力クラスではクロスサイトスクリプティング攻撃を防ぐ為、自動的に入力値をフィルタする機能が備わっています。application/config/config.php ファイルを次のように設定することで POST または COOKIE データを扱う際、自動的にフィルタを実行することができます :

$config['global_xss_filtering'] = TRUE;

アプリケーション内でXSSフィルタリングを利用する方法についてはセキュリティクラスを参照してください。

POST、COOKIE、あるいはSERVERデータの使用

CodeIgniterには、POST、COOKIEあるいはSERVERのデータを取得するための3つのヘルパメソッドが備わっています。直接項目を取得する(例：$_POST['something'] ) のでなく、このクラスが提供するメソッドを使う主な利点は、メソッドにより値がセットされているかチェックされ、セットされていない場合は、false (ブール値) を返すということです。このメソッドを利用すれば、項目が存在するかどうかをまずテストすることなく、便利にデータを使えます。つまり、通常は、次のようなコードになりますが:


if ( ! isset($_POST['something']))

{

    $something = FALSE;

}

else

{

    $something = $_POST['something'];

}

CodeIgniter の組み込みメソッドを使うと、単純に次のようになります:

$something = $this->input->post('something');

3つのメソッドは次の通りです:

$this->input->post()
$this->input->cookie()
$this->input->server()

$this->input->post()

第1引数は、コレクションの中から探し出すPOSTされた項目の名前になります:

$this->input->post('some_data');

このメソッドは、取り出そうとして見つからなかった場合、FALSE (ブール値) を返します。

第2引数は、オプションで、データをXSSフィルタに通すかどうかを指定します。XSSフィルタは、第2引数をブール値のTRUEに設定することで有効になります:

$this->input->post('some_data', TRUE);

引数を指定せずに呼び出すことで、POSTされたすべての値を連想配列で返します。

第1引数をブランク、第2引数にブール値を指定することで、POSTされたすべての値をXSSフィルタに通すことができます。

このメソッドは、取り出そうとして見つからなかった場合、FALSE (ブール値) を返します。


	$this->input->post(); // POSTされた値をXSSフィルタを通して返します
	

	$this->input->post(NULL, FALSE); // POSTされた値をXSSフィルタを通さずに返します

$this->input->get()

このメソッドは、get データを取り出すということ以外は、post メソッドと同じです:

$this->input->get('some_data', TRUE);

引数を指定せずに呼び出すことで、GETされたすべての値を連想配列で返します。

第1引数をブランク、第2引数にブール値を指定することで、GETされたすべての値をXSSフィルタに通すことができます。

このメソッドは、取り出そうとして見つからなかった場合、FALSE (ブール値) を返します。


	$this->input->get(); // GETされた値をXSSフィルタを通して返します
	

	$this->input->get(NULL, FALSE); // GETされた値をXSSフィルタを通さずに返します

$this->input->get_post()

このメソッドは、get と post 両方のデータを取得対象としています、まず最初に post を対象にし、それから get を対象にします: $this->input->get_post('some_data', TRUE);

$this->input->cookie()

このメソッドは、クッキーデータを取り出すということ以外は、post メソッドと同じです:

$this->input->cookie('some_data', TRUE);

$this->input->server()

このメソッドは、SERVERデータを取り出すということ以外は、上のメソッドと同じです:

$this->input->server('some_data');

$this->input->set_cookie()

指定した値を含むクッキーをセットします。クッキーをセットする為にこのメソッドに情報を渡すには、2つの方法があります: 配列で渡す方法と個々のパラメータを渡す方法です:

配列で渡す方法

この方法では、第1引数に連想配列が渡されます:

$cookie = array(

    'name'   => 'クッキー名',

    'value'  => '値',

    'expire' => '86500',

    'domain' => '.some-domain.com',

    'path'   => '/',

    'prefix' => 'myprefix_',

    'secure' => TRUE

);



$this->input->set_cookie($cookie);

Notes:

name と value のみが必須属性となります。クッキーを削除するには有効期限に空白をセットします。

有効期限は現在時刻から数えた秒数で指定します。時刻を指定するのではなく、クッキーを現在時刻から何秒間有効かを秒数だけで指定します。有効期限を 0 にセットすると、ブラウザが開いている間だけ、クッキーが有効になります。

どのようにリクエストを受け付けたかにかかわらず、サイト全体で使うクッキーには、次のように domain にピリオドから始まるURLを追加してください: .your-domain.com

パスは、メソッドがルートパスをセットするので通常は必要ありません。

プリフィックスは、同一のサーバによってセットされたクッキーにおける名前の衝突を回避したい場合にのみ必要です。

セキュアのブール値は、セキュアなクッキーを使用したい場合のみTRUEにする必要があります。

個々のパラメータを渡す方法

希望であれば、個別のパラメータを使ってデータを渡してクッキーをセットすることができます:

$this->input->set_cookie($name, $value, $expire, $domain, $path, $prefix, $secure);

$this->input->get_cookie()

クッキーを読み取ることができます。第1引数は、読み取るクッキーの名前になります (プリフィックスがある場合はそれも):

get_cookie('some_cookie');

この関数は、読み取ろうとするクッキーが存在しない場合にFALSE (ブール値) を返します。

オプションの第2引数で、データをXSSフィルタに通すことができます。この機能は、第2引数にブール値のTRUEをセットすることで有効になります;

get_cookie('some_cookie', TRUE);

$this->input->ip_address()

現在のユーザのIP アドレスを返します。IPアドレスが正しくない場合、このメソッドは、次のIPアドレスを返します: 0.0.0.0

echo $this->input->ip_address();

$this->input->valid_ip(`$ip`)

IP アドレスを入力としてとり、IPアドレスとして妥当かどうかに応じて TRUE か FALSE (ブール値) を返します。Note: 上の$this->input->ip_address() メソッドは、 IPの検証を自動的に行います。

if ( ! $this->input->valid_ip($ip))

{

     echo 'Not Valid';

}

else

{

     echo 'Valid';

}

$this->input->user_agent()

現在のユーザが使用しているユーザエージェント(webブラウザ)を返します。利用できないときはFALSEを返します。

echo $this->input->user_agent();

ユーザーエージェントの文字列から情報を抽出する方法はユーザーエージェントクラスを参照してください。

$this->input->request_headers()

Apache 以外 (apache_request_headers() をサポートしない) 環境で有効です。ヘッダの配列を返します。

$headers = $this->input->request_headers();

$this->input->get_request_header();

リクエストヘッダの配列から指定した要素を返します。

$this->input->get_request_header('some-header', TRUE);

$this->input->is_ajax_request()

サーバのヘッダに HTTP_X_REQUESTED_WITH がセットされているかチェックし, boolean で返します。

$this->input->is_ajax_request()

CodeIgniter ユーザガイド 日本語版 Version 2.0.1

入力クラス

セキュリティフィルタリング

XSS フィルタリング

POST、COOKIE、あるいはSERVERデータの使用

$this->input->post()

$this->input->get()

$this->input->get_post()

$this->input->cookie()

$this->input->server()

$this->input->set_cookie()

配列で渡す方法

個々のパラメータを渡す方法

$this->input->get_cookie()

$this->input->ip_address()

$this->input->valid_ip($ip)

$this->input->user_agent()

$this->input->request_headers()

$this->input->get_request_header();

$this->input->is_ajax_request()

CodeIgniter ユーザガイド日本語版 Version 2.0.1

$this->input->valid_ip(`$ip`)