BLOG
25年新卒 WEBエンジニア インターンシップ 受付中

カスタムフィールドでブログにコメント機能を実装しよう

更新日:2022/10/31

WordPressには備え付きのコメント機能があります。
ですが、実装したい内容やカスタマイズ性を考えると備え付きの機能では実現できないことがあります。
そんな時に利用したいのがカスタムフィールドです!
様々な機能を実装するのにとても便利なカスタムフィールドですが、なんとコメント機能まで実装できます!

備え付きのコメント機能では物足りない!という方には、ぜひ本記事を読んでいただきたいです。
ぜひ最後までご覧ください!

インストール・設定

今回は「Smart Custom Fields」を使用してカスタムフィールドを利用していきます。
管理画面のプラグインから「新規追加」をクリックし、こちらをインストールしてください。

カスタムフィールドを作成します。

「Smart Custom Fields」の「新規追加」をクリックし、

  • 繰り返しフィールド

    多数のコメントを受け入れるため、繰り返しフィールドにする必要があります

  • テキストエリア

    ある程度のテキスト量を想定し、テキストエリアにします

上記2項目は必ず設定するようにお願いします。

カスタムフィールドを表示させる投稿タイプも忘れずに選択してください!

「Smart Custom Fields」については以下ブログで詳しく説明されています。
興味を持った方はぜひご確認いただければと思います。

【WordPress】カスタムフィールドならこれ!Smart Custom Fields(SCF)の使い方完全まとめ

コメント機能実装

カスタムフィールドの設定が終わったら、いよいよコメント機能の実装に入ります。
まずは記事詳細ページにコメントを投稿する用のフォームを作成していきます。

フォームの作成

フォームタグ内で最低限必要なのは、

  • テキストエリア

  • 送信ボタン

となります。

カスタムフィールドへ登録

少し処理が長くなりそうな感じがするので、処理を書く用のファイルを作成しインクルードで読み込みます。
ファイルを作成する場所はテーマフォルダ内ならどこでも大丈夫です。
今回私は /comment/comment.php を作成しましたので、インクルードの読み込みは以下のようになります。

[single-blog.php]

comment.php の方にどんどん処理を書いていきます。

[comment.php]

これだけです!!
コードの方を詳しく説明していきます。

最初のif文でフォームのテキストエリアに値が入っているときにだけ実行させるようにする記述です。

delete_post_metaで空のコメントを削除します。
Smart Custom Fieldsの仕様なのか、繰り返しフィールドの最初のフィールドが空白になってしまうため、空のコメントを削除させています。
空のコメントが存在しているのは紛らわしいので、必ず最初に削除するようにしましょう。

add_post_meta でカスタムフィールドにコメントを追加しています。
$_POSTで取得した値は、エスケープ処理してから使用するようにしてください。

エスケープ処理について、詳細はこちら

急になんでJavaScript!?と思われるかもしれませんが、こちらはフォームの再送信を防止するための記述です。
忘れずに記述しておきましょう。

投稿されたコメントを一覧表示

完成イメージはこちらです。

コメントが一覧表示されていて、その下に投稿フォームがある構成です。
作成した全コードがこちらです。

[single-blog.php]

get_post_metaでこの記事のカスタムフィールドの情報を取得します。
その下のif文ではget_post_metaで取得した配列に値が入っているときだけ通過するように記述しています。
ここで使用しているarray_filter()配列の値が入っているか判定する時にとても便利です。

$get_comments で取得したコメントの分だけループされます。

以上で完成です!
難しい処理もなくシンプルですよね!
このような挙動になる想定です。

編集・削除機能実装

カスタムフィールドで実装しているため、編集や削除の機能も付けることが可能です。
ですが、「コメントを投稿した」という本人確認を行う必要があるため、会員機能がある場合のみ実装可能となります。
会員機能は以下記事で紹介していますので、ぜひ実装してみてください。

WP-Membersで会員サイトを作成しよう!

編集機能

まずはコメントの編集機能の実装方法について、紹介します。

STEP 1

コメントごとにどのユーザーが投稿したか判定するために、ユーザーIDを格納するカスタムフィールドを作成します。

ユーザーIDはコメント投稿時に登録させる必要がありますので、こちらの記述に追記をします。
また、編集・削除機能をつける上で変更する必要がある点もあるため、以下のように記述をしてください。

[comment.php]

★ 変更
入力されたコメントの最後にランダムなIDをつけています。
こちらは同一コメントを編集・削除することの対策となります。

★ 追記
ログインされていたら、ユーザーIDが追加されます。

STEP 2

コメント一覧の出力と、編集・削除ボタンを追加します。

[single-blog.php]

投稿されたコメントの分だけループを回します。

「STEP 1 の ★変更」で同じ内容のコメントを編集・削除させないためにIDを振っていますが、フロント側では必要のない情報です。
後ろから18文字分削除します。

■ 後ろから18文字分削除しなかった場合
コメント(ID:6350f0869917c)

■ 後ろから18文字分削除した場合
コメント

「ユーザーがログイン済み」かつ「コメントに登録されてあるユーザーIDと同一」の場合、編集・削除ボタンが表示されます。

④,⑤ 正しいコメントを編集・削除できるようにそれぞれのボタンにカウントを振っています。

STEP 3

実際に編集を行う処理を記述します。

[comment.php]

for文でコメントの数だけループを回します。
編集したいコメントを正しく照合するために回しています。

「編集するボタンが押された」かつ「テキストエリアに値が入っている」場合、処理が走ります。

ログインユーザーのIDコメントのユーザーIDが等しいとき、処理が走ります。

コメントがテキストエリアに入力された値に更新されます。

以上で編集機能は完成です!
こちらのように、コメントが編集できるようになると思います。

削除機能

コメント一覧の出力の記述は、編集機能と同じなので記述がまだの方はこちらをご覧ください。
実際に削除を行う処理は以下のようになります。

[comment.php]

for文でコメントの数だけループを回します。
削除したいコメントを正しく照合するために回しています。

「削除する」のボタンが押された時、処理が走ります。

投稿されてあるすべてのコメント・ユーザーIDを取得します。

ログインユーザーのIDと①で取得したユーザーIDが等しいとき、処理が走ります。

delete_post_metaでコメントを削除します。
第三引数には削除したいコメントを入れる必要があるので、③で取得した値を利用し削除ボタンが押された投稿を削除します。

以上で削除機能は完成です!
こちらのように、コメントが削除できるようになると思います。

セキュリティ対策

不正なコメントの投稿や予期せぬ攻撃に備えるために、セキュリティ対策をしておきましょう!

不正ユーザー対策

「編集・削除機能実装」では、会員機能を用いて自分が投稿したコメントに対してのみ、編集・削除ボタンが表示されます。
これだけだとセキュリティにやや不安を覚えます。
ですので、処理が実行される前に正しいユーザーが操作しているか確認する記述を追加します。

STEP 1

会員登録又はログインをしたときに、各ユーザーのメタ情報にユニークな文字列を持たせます。

[functions.php]

メタフィールドが存在していない状態で、update_user_metaを使用して大丈夫なのかと思うかもしれませんが、フィールドが存在していなくても、update_user_metaで値が追加されるので上記記述で問題ありません!
wordpress, user-meta — add_user_meta()とupdate_user_meta()の対比

STEP 2

STEP 1で追加したlogin_session_idを編集・削除フォームに追加しましょう。
フロント側に見せる必要がないので、隠しフィールドを使用します。

[single-blog.php]

★ 追記
隠しフィールド内に、ログインユーザーのメタ情報に保存してあるlogin_session_idを格納します。

STEP 3

あとは処理の前に判定を追加するだけです!

comment.php

★ 変更
処理前のif文に以下記述を追加しました。

POSTされたlogin_session_idと、ログインユーザーのlogin_session_idが同一かを判別します。

XSS対策

XSS(クロスサイトスクリプティング)とは、コメントフォームなどに悪意のあるスクリプトを埋め込み、個人情報を盗み出すなどの攻撃手口です。
ページ内にフォームがある場合は、XSSの対策をする必要があります。
こちらは基本的に$_POSTで取得した値をhtmlspecialcharsでエスケープすれば問題ないです。

htmlentitiesの第一引数に$_POSTで取得した値を入れます。
第二引数・第三引数は上記のままでOKです。
詳しい使い方や解説が気になる方は、以下記事をご確認ください。

PHPでのセキュリティ問題(XSSについて)

クリックジャッキング対策

クリックジャッキングとは、対象のウェブサイトをiframe内などで表示させ、被害者にクリックさせたいURLの要素で覆うことで視覚的に騙してクリックさせる攻撃です。
こちらの攻撃を防ぐために、X-Frame-Optionsを設定します。

functions.php

上記記述を追加すると、サイトがiframe内に表示されることを防ぐことができます。

まとめ

いかがでしたでしょうか?
WordPressの備え付きのコメント機能もありますが、カスタムフィールドで作成する方がよりカスタマイズしやすくなります。
カスタマイズの幅が大きく広がるので、より利便性が高いコメントフォームが作成できます!

ですが自前でフォームを作成することなりますので、不正にコメントを操作されないようにアクセス対策や脆弱性の対策が必要となります。
適宜必要な対策をとることが大切となりますね…!
公開前のデバッグも慎重に行う必要がありそうです。

以上、最後までお読みいただきありがとうございました!!

FOLLOW US