kunitsuji
tsuji****@m-s*****
2008年 7月 12日 (土) 15:50:00 JST
kunitsujiです。 たとえば、、、detail/の場合、削除処理がいきなり走ることはないですよね? deleteで処理されるとおもいますが、 そのときにdelete/47 として削除可能としてしまうと、起こりますね。 POSTを使うのは、URL直打ちでは起きないようにするということへの対処という ことでもあるでしょう。 ただし、完全ではありません。 このあたり、削除する機能はたとえば管理者のみにするといった方法をとること が多く、 その場合ログインしているのかしていないのかとかの制限を設けることで対応し ていることが多いです。 あとは、このような処理の場合、ログインしている方が対象で開くとおもいます ので、接続している人のログイン情報を見て、 削除権限があるのかないのかを判定したりします。 delete/47 とURL直接たたかれて削除してしまう、という処理は、そういう意味では危険と いうことですね。 通常行われるのは 削除する権限があるのかないのか、 ログインしているのかしていないのか 47というIDが有効なのかどうか 等をみて処理を行います。 気になった部分は、正しいということですね。 >ただ、今のままで少し気になったのは、 >http://customer.oh-yes.jp/customer/detail/47 >といったように直接URLをたたかれるとデータが削除される、もしくわ変更され >るといったことがあるのかも?とおもいました。 >このあたりの問題というのはないのでしょうか? > >_______________________________________________ >Codeigniter-users mailing list >Codei****@lists***** >http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users
