以下のコードは、window オブジェクトに test というプロパティを作成して、その中に show というメソッドを実装します。 show メソッドに書かれた日本語は shift_jis で書かれているので、通常では shift_jis 以外のページから読み込むとIEではエラーになりますが、charset 属性で正しく指定するとエラーにはなりません
(function () {
var work = {
show: function() {
alert("こんにちは");
}
}
window.test = work;
})();
<script type="text/javascript" src="http://lightbox.on.coocan.jp/js/charset/sjis.js" charset="shift_jis" ></script>
DIV 内に innerHTML でプレビューする場合は、インラインで複雑な JavaScript が書かれているとエラーになる場合があります。ですから、そういう場合も対処したい場合は、IFRAME に対して document.write すると回避されます。 しかし、document.write でも、部分的なスクリプト記述であると、当然エラーになってしまいますので、全体のエラーを以下のようにして抑制します。
<script type="text/javascript">
window.onerror = function (e, url, line) {
console.log(e+" / "+line+" / "+url);
return true;
}
// 関数未定義
test();
</script>
この記述を document.write で IFRAME に書き込む為に、全体を文字列化する必要がありますので、こちらで JavaScript ボタンをクリックして変換して下さい
str="";
str+="<"+"script type='text/javascript'> \n";
str+="onerror = function() { \n";
str+=" return true; \n";
str+="} \n";
str+="</"+"script> \n";
str+=" ";
IFRAME に対する document.write は、IFRAME の id を preview とすると以下のようになります
//
//
var target = document.getElementById("preview").contentWindow.document;
target.open;
var str="";
str+="<style type=\"text/css\"> \n";
str+="* { \n";
str+=" font-size:12px; \n";
str+="} \n";
str+="</style> ";
target.write(str);
str="";
str+="<"+"script type=\"text/javascript\"> \n";
str+="window.onerror = function() { \n";
str+=" return true; \n";
str+="} \n";
str+="</"+"script> ";
target.write(str);
target.write(document.getElementById("text").value);
target.close();
実際は、右辺にオブジェクトをセットして専用の名前空間で参照できるライブラリのインスタンスとして利用します。 ルートで var で定義する変数と厳密には違うようですが、事実上同じと思っていいと思います。ですから、Fucntion 内でグルーバルな変数を利用したい場合は、window オブジェクトを使用すると良いでしょう
window.変数名 = "lightbox" または window["変数名 "] = "lightbox"
例えば、Shadowbox というライブラリを簡単にまとめると以下のような定義のしかたをしています( 以前は var で直接セットしていましたが、最新はこのようになります )
(function(){
var ua = navigator.userAgent.toLowerCase(),
S = {
// いろいろな定義
},
// いろいろな定義
;
window['Shadowbox'] = S;
})();
(function(){})(); は、関数を定義して呼び出すのを一度に行う書き方で、無名関数を定義して () で実行しています
JavaScriptの function の引数の扱いと、prototype の使い方のサンプルです
Number.prototype.toHex = function () {
var n;
// デフォルトは長さ2で前にゼロ
if ( arguments.length == 0 ) {
n = 2;
}
// 以外は引数が長さで前にゼロ
else {
n = arguments[0];
}
// 数値を16進数文字列に変換
var s_hex = this.toString(16);
// 長さが引数より長い場合は何もしない
if ( s_hex.length >= n ) {
return s_hex;
}
// 長さが引数より短い場合は0で長さぶんを補完する
else {
return ("0000000000" + s_hex).substr(s_hex.length+10-n,n);
}
}
alert((0).toHex());
alert((255).toHex());
alert((300).toHex(5));
Microsoft の関連ページ replace メソッド 以下のように変換されます 2010年01月01日 2010年02月01日 2010年03月01日 ※ a には、日付文字列全体がセットされます
buff = "2010/01/01 2010/02/01 2010/03/01"
result = buff.replace(
/(\d+)\/(\d+)\/(\d+)/g,
function (a, b, c, d) {
return b + "年" + c + "月" + d + "日"
}
)
alert(result)
オリジナルページ PHP: mysql_real_escape_string - Manual この例では、パスワードを正しく入力しなくても、ユーザの存在チェックがなされた事になってしまいます。( ※ mysql_fetch_row が行を取得してしまう ) また、この場合はユーザーが一致する必要があるのですが、以下のようにすると、ユーザー名が解らなくでもクエリが 行を返す事になります( 但し全てのユーザを返す複数行になります ) $_POST['username'] = "' OR '' != ''"; $_POST['password'] = "'"; よって、入力値に mysql_real_escape_string を使用する事が必要になります
<?
header( "Content-Type: text/html; Charset=utf-8" );
header( "pragma: no-cache" );
header( "Expires: Wed, 31 May 2000 14:59:58 GMT" );
header( "Cache-control: no-cache" );
$server = 'localhost';
$dbname = 'lightbox';
$user = 'root';
$password = 'password';
// 接続解除
$connect = @mysql_connect( $server, $user, $password );
if ( !$connect ) {
print "接続エラーです";
exit();
}
// DB選択
mysql_select_db( $dbname, $connect );
// データベース上のユーザに一致するかどうかを調べる
$_POST['username'] = 'lightbox';
$_POST['password'] = "' OR ''='";
$query = <<<QUERY
SELECT * FROM users
WHERE user = '{$_POST['username']}'
AND password = '{$_POST['password']}'
QUERY;
$result = mysql_query($query,$connect);
print_r($result);
print "<pre>";
print_r(mysql_fetch_row($result));
print "</pre>";
?>
但し、入力のキャラクタセットが shift_jis の場合、この関数では、日本語に \ が含まれる文字をエスケープしてしまうので個別に注意が必要です。 また、SQL インジェクションに対する基本的な対処として、 1) DBにスーパーユーザーまたはデータベースの所有者として接続しない 2) 指定された入力が期待するデータ型であることを確認 3) データベースに渡される数値以外のユーザ入力が想定しているキャラクタセットか確認 4) 3) でOKならば mysql_real_escape_string でエスケープ が上げられます。 関連する記事 PHP+MySQLで、SQLインジェクション対策の為に、一括で mysql_real_escape_string を行う一つの手段
Seesaa の 記事がたまに全く表示されない場合があります。その場合は、設定> 詳細設定> ブログ設定 で 最新の情報に更新の『実行ボタン』で記事やアーカイブが最新にビルドされます。 Seesaa のページで、アーカイブとタグページは要注意です。タグページはコンテンツが全く無い状態になりますし、アーカイブページも歯抜けページはコンテンツが存在しないのにページが表示されてしまいます。 また、カテゴリページもそういう意味では完全ではありません。『カテゴリID-番号』というフォーマットで表示されるページですが、実際存在するより大きな番号でも表示されてしまいます。 ※ インデックスページのみ、実際の記事数を超えたページを指定しても最後のページが表示されるようです 対処としては、このようなヘルプ的な情報を固定でページの最後に表示するようにするといいでしょう。具体的には、メインの記事コンテンツの下に『自由形式』を追加し、アーカイブとカテゴリページでのみ表示するように設定し、コンテンツを用意するといいと思います。※ エキスパートモードで表示しています アーカイブとカテゴリページはこのように簡単に設定できますが、タグページは HTML 設定を直接変更して、以下の『タグページでのみ表示される内容』の記述方法で設定する必要があります
<% if:page_name eq 'archive' -%> アーカイブページでのみ表示される内容 <% /if %> <% if:page_name eq 'category' -%> カテゴリページでのみ表示される内容 <% /if %> <% if:page_name eq 'tag' -%> タグページでのみ表示される内容 <% /if %>この記述は、以下の場所で使用します
|
|
