△▲ WebProg 初心者 ..
[
2ch
|
▼Menu
]
■コピペモード
□
スレを通常表示
□
オプションモード
□このスレッドのURL
■項目テキスト
102:nobodyさん 08/04/04 21:16:48 >>100 セキュリティ的にまずいってどうまずいと考えてるの? 理由もなく条件節にIDとパスワードをつけりゃまずくなくなるもんではないよ。 103:96 08/04/04 22:03:09 YqX/EKLM delete from yoteiTable where id=$id って言う削除文がまず最初にあって、 よく考えるとコレはイベントのID(id)を場当たりに打ち込んでいけば 実行されちゃうSQL文なので、そのイベントの登録者(そのイベントの編集権限あるひと)の IDのチェックくらいは必要かなぁ と、考えたのが最初でした(`userId`=$userId) それから、 「だったらログインパスワードもチェックして確実(?)にその人が処理してるというのを もう一段階チェックすべきでは?」などと考えて>>96の質問になりました でもそうすると、今度はログインパスワードの変更時に別の問題が発生するしな… そもそもユーザIDをユーザテーブルのid(オートインクリメント)そのまま使ってるのがマズイかな… と、今思い当たったところです SQLインジェクション対策なども調べてやってるんですけど、、どうも自信がもてません DBマガジンとかプログラムの専門誌とか見たら現場レベルのノウハウ載ってるのかな ごちゃごちゃ書いてすみません 「php入門」みたいな本じゃダメなのでここで聞きました
次ページ
最新レス表示
スレッドの検索
類似スレ一覧
話題のニュース
おまかせリスト
▼オプションを表示
レスジャンプ
mixiチェック!
Twitterに投稿
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch
5389日前に更新/164 KB
担当:undef