08/05/08 11:30:26
>>273
>だってログインしない限り$_SESSION['uId']には値が入らないんでしょ?
そうだと思いますよ
ただ、delete文の実行条件として、念のため検証するっていう事じゃないでしょうか?
単純に delete from `bookTable` where `bookId`=$_GET['bookId'] and `uId`=$_GET['uId'] だと
別の正規ユーザとしてログインした人間が、イタズラしようとしてブラウザのurl欄をいじったら
簡単に不正な削除処理がされてしまう可能性があるからかな、と理解しているんですが…
(delete.php?bookId=10&uId=100 のアクセスで削除処理を実行する場合、簡単にパラメータ書き換えられるので)
僕の勘違いかもしれません 誰でも、気が向いたら意見くれるとうれしいです
ただこれも、セッションの値を好きなタイミングで書き換えられたらダメですよね
そんなことできるのかな それとも、ページの頭でログインチェッカー入れてれば大丈夫かなぁ…