OpenPNE 3

せっかくなので #900 の内容をそのまま取り込むよりも好ましい改善を行います。

2 系の仕様¶

• webapp/lib/OpenPNE/Validator.php
  

  357-        case 'regexp':
  358-            if (isset($rule['regexp']) && !preg_match($rule['regexp'], $reqval)) {
  359-                if (isset($rule['type_error'])) {
  360-                    $error = $rule['type_error'];
  361-                } else {
  362-                    $error = "{$rule['caption']}を正しく入力してください";
  363-                }
  

• ここで弾かれており、その制約は次の正規表現によるものでした
  

  識別名を弾いた時点の $rule['regexp'] の値：
  
  string '/^[a-z0-9_]+$/i' (length=15)
  

そして、その後に別のバリデートも行われています。

• webapp/modules/admin/do/update_c_profile.php
• webapp/modules/admin/do/insert_c_profile.php
  

  15-    function execute($requests)
  16-    {
  17-        if (db_admin_c_profile_name_exists($requests['name'])) {
  18-            admin_client_redirect('insert_c_profile', 'その識別名は既に登録されています');
  19-        }
  20-        if (is_numeric($requests['name'])) {
  21-            admin_client_redirect('insert_c_profile', '識別名は数値のみには設定できません');
  22-        }
  

3.4 系の仕様（3.4.4 以降）¶

• lib/form/doctrine/ProfileForm.class.php : 56, 59(=118), 64 行目の 3 箇所
  

  55-    $this->validatorSchema->setPostValidator(
  56-      new sfValidatorDoctrineUnique(array('model' => 'Profile', 'column' => array('name')), array('invalid' => 'Already exist.'))
  57-    );
  58-
  59-    $this->mergePostValidator(new sfValidatorCallback(array('callback' => array('ProfileForm', 'validateName'))));
  60-    $this->setValidator('default_public_flag', new sfValidatorChoice(array('choices' => array_keys(Doctrine::getTable('Profile')->getPublicFlags()))));
  61-    $this->setValidator('value_min', new sfValidatorPass());
  62-    $this->setValidator('value_max', new sfValidatorPass());
  63-    $this->setValidator('value_type', new sfValidatorString(array('required' => false, 'empty_value' => 'string')));
  64-    $this->setValidator('name', new sfValidatorRegex(array('pattern' => '/^\w*[a-z]\w*$/i')));
  65-
  :
  116-  static public function validateName($validator, $values)
  117-  {
  118-    if (0 === strpos($values['name'], 'op_preset_'))
  119-    {
  120-      throw new sfValidatorError($validator, 'invalid');
  121-    }
  

3.6 系以降の修正前の仕様¶

上記 3.4 系の 64 行目の部分が以下のようになっている。

$this->setValidator('name', new opValidatorString(array('required' => true, 'trim' => true)));

これによるバリデーションは行われている。

2 系と 3.4 系の違い¶

2 系：

• (A1) 正規表現 /^[a-z0-9_]+$/i にマッチする
• (A2) 既存の識別名ではない
• (A3) is_numeric($value) が偽である

3.4 系：

• (B1) 既存の識別名ではない
• (B2) op_preset_ で始まらない（ /^op_preset_/ にマッチしない、と同値）
• (B3) 正規表現 /^\w*[a-z]\w*$/i にマッチする

この条件を全て満たす文字列が許容されています。両者の比較において、「既存の識別名ではない」ことのチェックには差異はありません。また 3 系独自の op_preset_ で始まらないことは以下では触れません。

誤解がないように正規表現について示しておきますが、 /¥w/ と /[_a-zA-Z0-9]/ と /[_a-z0-9]/i はそれぞれ同値である前提とします。（余談ですが、preg 系ではなく mb_ereg 系の関数を用いる場合、\w や \d のようなエスケープシーケンスが全角文字まで含む場合があります。これらは通常であれば半角文字のみを指すものとして考えてよいですが、「常に /\w/ が /[_a-zA-Z0-9]/ と一致する」と思い込むのは危険かもしれません。付け加えれば /[0-9]/ が /0|1|2|3|4|5|6|7|8|9/ と一致することも前提条件があることを忘れてはなりません。）

• 2 系は、 /^¥w+$/ にマッチし、 is_numeric($value) が偽である、という文字列が許容されます。
• 3.4 系は、 /^¥w+$/ にマッチし、 アルファベットを含む、という文字列が許容されます。

後半の内容が異なっていますが、この差異は #900 で検討されたものであり、このコメントを書いている時点でもその検討内容は妥当だと思っています。

ところで、2系の「 is_numeric() が偽となるかどうか」をチェックしているのは意図がよく分かりません。これでは 1eA が通るのに 1e1 が弾かれ、 0xfg が通るのに 0xff が通らない状態になっています。ここでは「 ctype_digit() が偽となるかどうか」をチェックするべきでしょう。この違いのことは以下では触れません（「数字のみではない」ことをチェックしていると考えておきます）。

さて、ここまでの確認を経て、

• 2 系は、「 /^¥w+$/ がマッチし、数字のみではない」（アンダースコアのみは許容される）
• 3.4 系は、「 /^¥w+$/ がマッチし、アルファベットが含まれる」（アンダースコアのみは許容されない）

という制約であることが分かりました。

3.6 系以降での修正¶

管理画面の「識別名についての注釈」について、 2 系は「※半角英数 と _ のみ（数値のみも不可）」という文言があります。しかし 3 系にはありません。

3.6 系以降では、個人的にアンダースコアのみは許容しなくてよいと思うので、バリデーションは 3.4 系と同一のものでよいと考えます。そして、管理画面に注釈をつける改善も施そうと思います。

更新履歴 db7c968fab6e646914d40caf64acdb05850b26db で適用されました。

チケットの Description を書き換えました。

テストOKです。