【PHP】下らねぇ質問はここに書き込みやがれ 12

[過去ﾛｸﾞ] 【PHP】下らねぇ質問はここに書き込みやがれ 12 (1002ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

283(4): (ﾜｯﾁｮｲ 931d-9wAC) 2021/06/16(水)17:55 ID:u+PEF3EC0(1/4) AAS
データベースを扱う際の例外処理で、本に、
…
} catch (PDOException $e) {
echo "エラー:" . htmlspecialchars($e->getMessage(), …) . "<br>";
exit;
} // 一部改変
とあったのですが、$e->getMessage()を無害化する必要性がよく分かりません
ここはPHP製作者の側で用意した文字列が表示されるのではないでしょうか？

284(1): (ﾜｯﾁｮｲ 6fad-8W0u) 2021/06/16(水)18:39 ID:o6SqvTfC0(1) AAS
>>283
そうだよ、無害化する意味ない。

さらに言うと、エンドユーザーにシステムがそのまま出力するメッセージを見せるとかありえないから、あくまで開発者向けのデバッグ用という意図で書かれているんだろうけど、それを無害化する意味も分からない。

285(1): (ﾜｯﾁｮｲ cfbb-EDyt) 2021/06/16(水)18:54 ID:KT0G0U9/0(1/3) AAS
>>283
メッセージの内容によっては外部入力が表示される可能性があるので、htmlspecialchars でエスケープすることは必要
ただし、そもそも出力するの？ってところは、ちゃんと考える必要がある

286(2): 283 (ﾜｯﾁｮｲ 931d-9wAC) 2021/06/16(水)19:03 ID:u+PEF3EC0(2/4) AAS
>>284
>>285
回答ありがとうございます

>>284
>あくまで開発者向けのデバッグ用という意図で書かれているんだろうけど
はい、そのように書かれています　本番ではこの部分は削除しろと

>>285
上に書いたように、本番環境では削除すると思います

外部入力が表示されるのって、例えばどういう場合でしょうか？

287(1): (ﾜｯﾁｮｲ cfbb-EDyt) 2021/06/16(水)19:09 ID:KT0G0U9/0(2/3) AAS
>>286
ごめん。出力って言ってるのはブラウザ出力ね
logに出すのが適当だと思うので、その場合はエスケープの必要はもちろん無い

288(1): (ﾜｯﾁｮｲ cfbb-EDyt) 2021/06/16(水)19:10 ID:KT0G0U9/0(3/3) AAS
>>286
ユーザ入力を含むSQLが部分的に表示されることはよくある

289: 283 (ﾜｯﾁｮｲ 931d-9wAC) 2021/06/16(水)19:37 ID:u+PEF3EC0(3/4) AAS
>>287
>>288
分かりました
少しでも外部入力が反映される可能性があったら必ずエスケープなんですね〜
ありがとうございました

290(1): (ﾜｯﾁｮｲ c312-tjD1) 2021/06/16(水)20:05 ID:euAZBJmN0(1) AAS
少しずつしゃべりたいことが違う優しい人が集まることで、
最終的に>>283が狂った理解をしてしまった例。

291: 283 (ﾜｯﾁｮｲ 931d-9wAC) 2021/06/16(水)22:32 ID:u+PEF3EC0(4/4) AAS
>>290
あっ、狂った理解なんかしてないんで
本当そういうレス大丈夫なんで

292: (JP 0H1f-VfJG) 2021/06/16(水)22:59 ID:tS8D2T4IH(1) AAS
たぶん間違って理解してるよ。いろいろと。
発達障害って言われてるでしょ。

293: (ﾃﾃﾝﾃﾝﾃﾝ MM7f-8W0u) 2021/06/16(水)23:23 ID:IAoK90gxM(1) AAS
わざわざVPN刺してまで煽るのはダサいだろ

294: (ﾜｯﾁｮｲ 335f-tjD1) 2021/06/17(木)00:02 ID:seNEbGFQ0(1) AAS
>>283=Brというマ板に巣食っていた荒らしが正体隠して名無しで書きこんでいる

295(1): (ﾜｯﾁｮｲ f3da-fCQn) 2021/06/17(木)10:58 ID:mta/I3G30(1/3) AAS
よろしくお願いします

PHP+Mysqlのサイトで会員ページへのログイン管理をセッションIDでやっていたのですが、ログイン後のURLの「ID＝1234」を書き換えれば別の会員ページが見えてしまいます

そこでログイン後にセッション開放をしたのですが、今度は会員ページを見るたびにID＆パスワードを入力する必要があり窮屈です

今後の改善策として↓どれがオススメですか？

【パターン１】
・パラメーターを非表示にする（できな？）
省4

296(2): (ﾜｯﾁｮｲ cfbb-EDyt) 2021/06/17(木)11:11 ID:ywtXDFpr0(1) AAS
>>295
【パターン３】
ちゃんとsessionの仕組みを学習する

多分、根本から認識が間違っている

297(1): (ﾜｯﾁｮｲ 03a7-42hD) 2021/06/17(木)12:12 ID:8B6FG2Oh0(1/2) AAS
パラメーターを非表示にするっていうかセッション使ってるのにURLに入れたりしない
cookieにセッションIDを保存ってPHPのセッションを設定いじらず普通に使ってれば最初からそういう風になってる
んまー>>296の通りね

298(1): 295 (ﾜｯﾁｮｲ f3da-fCQn) 2021/06/17(木)12:26 ID:mta/I3G30(2/3) AAS
>>296
>>297

セッションを使ってるのにURLのパラメーターなんていらないですね、失礼しました

299(1): (ﾜｯﾁｮｲ b308-tD/8) 2021/06/17(木)12:52 ID:r4gx4cxd0(1) AAS
>>298
いやそうではなく、296も書いてる通り根本的にセッションに対する認識が間違ってる

セッション自体は、クッキーでもURLパラメータでもどっちでも扱える
URLのパラメータを書き換えられるのと同様に、クッキーの中身もユーザーが任意で書き換えられるのだから、
＞ログイン後のURLの「ID＝1234」を書き換えれば別の会員ページが見えてしまいます
のであれば、根本的に作り方がおかしい

理解してないととんでもない事になるぞｗ

300: 295 (ﾜｯﾁｮｲ f3da-fCQn) 2021/06/17(木)13:00 ID:mta/I3G30(3/3) AAS
>>299
セッションID漏洩で検索すると沢山ヒットしますね

気を付けます

301: (ｽｯｯﾌﾟ Sd1f-p3pc) 2021/06/17(木)17:28 ID:PjL3bf8Xd(1) AAS
PHPをダウンロードしたいんですがfor windowsのページが接続できません。
Windowsサポートが終了するからなくなったんでしょうか？

302: (ﾜｯﾁｮｲ 03a7-42hD) 2021/06/17(木)17:38 ID:8B6FG2Oh0(2/2) AAS
外部ﾘﾝｸ:windows.php.net

上下前次 1-新書関写板覧索設栞歴

あと 700 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.540s*