08/04/04 22:03:09 YqX/EKLM
delete from yoteiTable where id=$id って言う削除文がまず最初にあって、
よく考えるとコレはイベントのID(id)を場当たりに打ち込んでいけば
実行されちゃうSQL文なので、そのイベントの登録者(そのイベントの編集権限あるひと)の
IDのチェックくらいは必要かなぁ と、考えたのが最初でした(`userId`=$userId)
それから、
「だったらログインパスワードもチェックして確実(?)にその人が処理してるというのを
もう一段階チェックすべきでは?」などと考えて>>96の質問になりました
でもそうすると、今度はログインパスワードの変更時に別の問題が発生するしな…
そもそもユーザIDをユーザテーブルのid(オートインクリメント)そのまま使ってるのがマズイかな…
と、今思い当たったところです
SQLインジェクション対策なども調べてやってるんですけど、、どうも自信がもてません
DBマガジンとかプログラムの専門誌とか見たら現場レベルのノウハウ載ってるのかな
ごちゃごちゃ書いてすみません
「php入門」みたいな本じゃダメなのでここで聞きました