STP^3

poti-boardというPHPスクリプトをサイトに設置したいのですが、設置手順通... - Yahoo!知恵袋

このスクリプトはPHP5であるにも関わらず extract($_POST); extract($_GET); extract($_COOKIE); と、register_globals同等のことを自らやっているので、相変わらず脆弱性はあります。

extract($_POST); extract($_GET); extract($_COOKIE);による変数の取得をやめて、個別に変数を取得するようにしました。
POTI-board改 v1.50.0で対応ずみです。

残るはextract($_SERVER);でしたが…。
var_dump(count($_SERVER));で確認すると存在している配列の数47…。

変数として使っていれば配列のキーが変数名になっているはずなので1個ずつgrepで確認。
extract()を使っているのに、POSTかどうか調べているだけでした。

$REQUEST_METHOD = ( isset($_SERVER["REQUEST_METHOD"]) === true ) ? ($_SERVER["REQUEST_METHOD"]): "";

に書き直しました。

外部から取得する変数の取得方法を三項演算子に統一。
変数が未定義なら空文字列になるようになりました。

POTI-boardのエラーを減らすために $mode編: STP^3

//未定義エラー対策
if (isset($mode)){
switch($mode){

と書けば未定義エラーはでなくなると書きましたが…。
$modeが未定義にならなくなったので、isset()で確認する必要がなくなりました。
かなりの数のisset()を削減する事ができました。

この変更はPOTI-board改 v1.51.0に反映されました。

お絵かき掲示板はこちら。

Notice、Warning、Deprecatedのエラーを少しずつ減らし…、ついにエラーのでないPOTI-boardができた…と思ったら、php7.3でcompact()のエラーがでてしまいました。

compact()に未定義変数が入るとNoticeが発生…。

compact()の手前でisset()で判定して空文字列にすればエラーはでなくなりますが、isset()だらけになるので、変数取得時のif文を見直す事に…。

if(USE_ANIME){
if(file_exists(PCH_DIR.$time.'.pch')){
$pch = $time.$ext;
}
elseif(file_exists(PCH_DIR.$time.'.spch')){
$pch = $time.$ext.'&shi=1';
}
else{
$pch="";
}
}
else{
$pch="";
}

もしアニメを保存しない設定の時は、$pchを空文字列に。.pchファイルがなくて.spchファイルも無い時は、$pchを空文字列に。

値が入らない時は空文字列になるので、compact()に未定義変数が入るのを回避できます。
if文とelseを組み合わせれば未定義変数を減らす事ができるという基本的な事がやっとわかりました。

この変更はPOTI-board改 v1.50.6に反映されました。

お絵かき掲示板はこちら。

お絵かき掲示板交流サイトでとある魔術の禁書目録の心理定規(メジャーハート)。

funige氏が開発したHTML5版しぃPaintBBS NEOはChrome、iPad、スマートフォンでも描けます。

HTML5+javaScriptなので、ブラウザだけで動作、Javaプラグインのインストールの必要がありません。
しかし、一度広まってしまったお絵かき掲示板はJavaで動くからもう終わりというという認識をあらためてもらうのはなかなか大変です。
見た目はJavaのPaintBBSでも、中身は最新のjavaScriptですと説明してまわなければならないのが現状です。

もう使う事ができないツールだと思われてしまったら、お絵かき掲示板を検索して探してもらいたくても、検索もしてもえなくて終わりです。

そこで考えたのが、Chromeでお絵かき掲示板が動いているスクリーンショットを投稿する。
さらに、Chromeでお絵かきした動画を投稿する。

【とある魔術の禁書目録】「禁書目録 心理定規」/「さとぴあ」のうごイラ [pixiv]
↑
pixivやTwitterにも投稿しているんですけどね。
もう少しどうにか広める事はできないものなのか…。


↑
という事で試験的に、お絵かき掲示板の描画アニメをキャプチャした動画をブログに掲載してみる事にしました。

お絵かき掲示板はこちら。

お絵かき掲示板交流サイトで使っているPOTI-board EVOの簡単設置方法です。

少し前にためしてみたけれど、うまく設置できなかったという方もぜひ…。


↑
POTI-board EVOをダウンロードします。

以前は、テンプレートが入っていない状態で配布していましたが、今はデフォルトスキンをはじめから入れています。
テンプレートが入っていないと掲示板が動作しないからです。

HTML5版しぃお絵かき掲示板PaintBBS NEOも最初から入っています。
ただし、最新バージョンではないかもしれません。
動作確認のために入れてあります。


↑
ダウンロードしたPOTI-board EVOのzipファイルを展開して…。


↑
FTPソフトで、php5.5〜php7.xが使えるレンタルサーバにアップロードします。

さくらのレンタルサーバの一番安いライトプランでも設置できます。

XREAの無料プランやスターサーバーフリーのような無料レンタルサーバにも設置もできます。


↑
ブラウザで設置したurlを開くと、1.本文無しが表示されます。※

※2020年7月23日以後の最新バージョンの改二は設置したurlを開くだけです。
それ以前のバージョンのPOTI-boardはpotiboard.phpを手動で呼び出します。

投稿してみて問題がない事を確認します。


↑
FTP接続してパーミッションを確認すると、書き込みが必要なディレクトリは707、プログラムが書き換えるファイルは606、ログファイルは600になっています。(POT-Iboard改 v1.53.0でパーミッションの初期値が変わりました）
potiboard.phpが必要なディレクトリとファイルを作成してパーミッションを設定してくれます。


↑
2005年頃のマニュアルには設置ディレクトリは777とありますが…。
777にするとサーバエラーになります。

パーミッションの設定を自分でしなければ起きないトラブルです。

ここまで何も設定しなかったのは動作する事を確かめるためです。
先にカスタマイズしてから転送したら動かなかったというケースも多いようです。

掲示板が動くことがわかったら

config.php

をutf-8対応のエディタで開きます。

LFというLinuxの改行コードを使っているので、古いバージョンのWindowsのメモ帳では改行が反映されず1行になってしまうかもしれません。

その場合は…。それなりのエディタを使います。

例えばサクラエディタ。

無料で使える軽快なエディタです。

//管理者パスワード
$ADMIN_PASS = 'kanripass';

のkanripassとなっている箇所を、自分にしかわからないパスワードに書き換えます。

管理者パスがそのままだと誰でも記事を編集削除できる状態になるので危険です。
ここの書き換えは必須です。

//投稿サイズ（これ以上はサイズを縮小
define('MAX_W', '300'); //幅
define('MAX_H', '300'); //高さ

投稿した画像が大きく表示されない時は、ここの数値を変更します。

//タイトル（<title>とTOP）
define('TITLE', 'お絵かき掲示板');

掲示板のタイトルを変更します。
ここを変更してもトップページのタイトルが変わらない時は、管理モードからログ更新するか何でもいいので投稿すれば反映されます。

POTI-boardはテーマを入れ替える事ができます。
PaintBBS NEOに対応したものに限ると…。

サ骨さんのテーマがデフォルトで2種類。

黒鋼彗牙さんの

Cool Solid

Cool Solidから画像アップロード機能をなくし、BBSNoteに見た目を近づけた

PINK

があります。


テンプレートを入れ替えたのに見た目が変わらない時は、ログ更新、または何でもいいので投稿してみてください。

PaintBBS NEOのバージョンアップに必要なファイルは、

neo/dist/

の

neo.css
neo.js

の2つです。
ダウンロードしたzipファイルを展開して取り出します。


neo.cssとneo.jsの最新バージョンをpotiboard.phpと同じディレクトリに転送して上書きします。

POTI-boardの設置時にできる1のログファイルのコンマ数不足がが原因でNoticeが発生していたので…。

$testmes="1,".$now.",".DEF_NAME.",,".DEF_SUB.",".DEF_COM.",,,,,,,,,,\n";

コンマを8つ付け足しました。


↑
これだけでていたNoticeが…。


↑
でなくなりました。

記事を削除するとNoticeがでるので…。

for($i = 0; $i < $countline; $i++){
if($line[$i]){
list($no,,,,,,,$dhost,$pass,$ext,,,$tim,,) = explode(",",$line[$i]);

}
else{
$no=$dhost=$pass=$ext=$tim="";
}

$line[$i]が空文字の時には処理しないようにしました。


↑
記事を削除した時に発生していたNoticeが…。


↑
でなくなりました。

この変更はPOTI-board改 v1.50.5 lot.190101に反映されました。

お絵かき掲示板はこちら。