△▲　WebProg 初心者の質問 Part17　▼▽

△▲　WebProg 初心者の質問 Part17　▼▽ at PHP

274:266
08/05/08 11:30:26
>>273
＞だってログインしない限り$_SESSION['uId']には値が入らないんでしょ？
そうだと思いますよ
ただ、delete文の実行条件として、念のため検証するっていう事じゃないでしょうか？

単純に　delete from `bookTable` where `bookId`=$_GET['bookId'] and `uId`=$_GET['uId']　だと
別の正規ユーザとしてログインした人間が、イタズラしようとしてブラウザのurl欄をいじったら
簡単に不正な削除処理がされてしまう可能性があるからかな、と理解しているんですが…
(delete.php?bookId=10&uId=100 のアクセスで削除処理を実行する場合、簡単にﾊﾟﾗﾒｰﾀ書き換えられるので）
僕の勘違いかもしれません　誰でも、気が向いたら意見くれるとうれしいです

ただこれも、セッションの値を好きなタイミングで書き換えられたらダメですよね
そんなことできるのかな　それとも、ページの頭でﾛｸﾞｲﾝﾁｪｯｶｰ入れてれば大丈夫かなぁ…

次ページ

続きを表示

1を表示