△▲ WebProg 初心者の質問 Part17 ▼▽at PHP△▲ WebProg 初心者の質問 Part17 ▼▽ - 暇つぶし2ch■コピペモード□スレを通常表示□オプションモード□このスレッドのURL■項目テキスト100:96 08/04/04 19:27:12 わかりにくかったみたいですみません 「予定テーブルに、予定を書き込んだ人間のIDも一緒に記録して、 削除のときは予定IDとその行の登録者のIDを両方チェックする」という程度で 大丈夫でしょうか? ログインパスワードの照合までは不要かなぁ…?? 101:nobodyさん 08/04/04 19:38:39 >>100 セキュリティの話? なら、そのdelete文そのものじゃなくて、 その文にいたるまでのコードのほうが重要 SQL文に注目しているぐらいだから たぶんダメなコードだろうけど。 102:nobodyさん 08/04/04 21:16:48 >>100 セキュリティ的にまずいってどうまずいと考えてるの? 理由もなく条件節にIDとパスワードをつけりゃまずくなくなるもんではないよ。 103:96 08/04/04 22:03:09 YqX/EKLM delete from yoteiTable where id=$id って言う削除文がまず最初にあって、 よく考えるとコレはイベントのID(id)を場当たりに打ち込んでいけば 実行されちゃうSQL文なので、そのイベントの登録者(そのイベントの編集権限あるひと)の IDのチェックくらいは必要かなぁ と、考えたのが最初でした(`userId`=$userId) それから、 「だったらログインパスワードもチェックして確実(?)にその人が処理してるというのを もう一段階チェックすべきでは?」などと考えて>>96の質問になりました でもそうすると、今度はログインパスワードの変更時に別の問題が発生するしな… そもそもユーザIDをユーザテーブルのid(オートインクリメント)そのまま使ってるのがマズイかな… と、今思い当たったところです SQLインジェクション対策なども調べてやってるんですけど、、どうも自信がもてません DBマガジンとかプログラムの専門誌とか見たら現場レベルのノウハウ載ってるのかな ごちゃごちゃ書いてすみません 「php入門」みたいな本じゃダメなのでここで聞きました 次ページ最新レス表示レスジャンプ類似スレ一覧スレッドの検索話題のニュースおまかせリストオプションしおりを挟むスレッドに書込スレッドの一覧暇つぶし2ch