△▲ WebProg 初心者 ..
[
2ch
|
▼Menu
]
■コピペモード
□
スレを通常表示
□
オプションモード
□このスレッドのURL
■項目テキスト
271:nobodyさん 08/05/08 09:51:18 セッションIDが盗聴されても困らないけど セッション取得時の情報やセッション中のやりとり内容が盗み見られるのは困る というならSSL使えばいい 272:266 08/05/08 10:21:05 みなさんいろんな意見ありがとうございます すごくためになりました >>267 さんの意見は if($_SESSION['uId']==$_GET['uId']){ $db->execute($deleteSql); } って感じですよね? ようやく理解できました (SSLを使った上で上のような処理にすれば大丈夫でしょうか?) とりあえずこれで行こうと思っています ほんとにありがとうございました 273:nobodyさん 08/05/08 10:47:52 >>272 >if($_SESSION['uId']==$_GET['uId']){ これって意味ある? ログインしてるかどうかは$_SESSION['uId']に値が 入ってるか入ってないかで判断できると思うんだけど。 だってログインしない限り$_SESSION['uId']には値が入らないんでしょ? 274:266 08/05/08 11:30:26 >>273 >だってログインしない限り$_SESSION['uId']には値が入らないんでしょ? そうだと思いますよ ただ、delete文の実行条件として、念のため検証するっていう事じゃないでしょうか? 単純に delete from `bookTable` where `bookId`=$_GET['bookId'] and `uId`=$_GET['uId'] だと 別の正規ユーザとしてログインした人間が、イタズラしようとしてブラウザのurl欄をいじったら 簡単に不正な削除処理がされてしまう可能性があるからかな、と理解しているんですが… (delete.php?bookId=10&uId=100 のアクセスで削除処理を実行する場合、簡単にパラメータ書き換えられるので) 僕の勘違いかもしれません 誰でも、気が向いたら意見くれるとうれしいです ただこれも、セッションの値を好きなタイミングで書き換えられたらダメですよね そんなことできるのかな それとも、ページの頭でログインチェッカー入れてれば大丈夫かなぁ…
次ページ
最新レス表示
スレッドの検索
類似スレ一覧
話題のニュース
おまかせリスト
▼オプションを表示
レスジャンプ
mixiチェック!
Twitterに投稿
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch
5390日前に更新/164 KB
担当:undef