[過去ログ]
【PHP】下らねぇ質問はここに書き込みやがれ 12 (1002レス)
【PHP】下らねぇ質問はここに書き込みやがれ 12 http://mevius.5ch.net/test/read.cgi/tech/1619667579/
上
下
前次
1-
新
通常表示
512バイト分割
レス栞
抽出解除
レス栞
このスレッドは過去ログ倉庫に格納されています。
次スレ検索
歴削→次スレ
栞削→次スレ
過去ログメニュー
810: デフォルトの名無しさん (ワッチョイ 3d5d-e6C7) [] 2021/08/16(月) 19:38:04 ID:MmXvFMHy0 結局$_session[ほにゃらら]はユーザーからいじることは不可能でいいの?埒があかないまま使ってて不安だわ http://mevius.5ch.net/test/read.cgi/tech/1619667579/810
827: デフォルトの名無しさん (ワッチョイ 1f08-u2+K) [sage] 2021/08/20(金) 13:13:52 ID:sg5lHnRB0 >>810 その「ユーザー」というのが、810の作ったウェブアプリを利用する一般ユーザーって意味なら、 セッション変数をユーザー入力(GETやPOSTのことね)で直接上書きする設計になっていたら、ユーザーがいじる事はできるわな だから、ユーザー入力は常に汚染されていると考えしっかりチェックしようって話になる その「ユーザー」というのが、810の作ったウェブアプリが入っているサーバの別ユーザーって意味なら、 PHPが生成するセッションファイルは、Linux系OSのデフォでは /tmp 以下に sess_xxxxx ってファイルでPHPからの読み書き権限が与えられた状態で保存されてる ※デフォでどこに保存されるかは phpinfo() で確認しよう だから、もし別ユーザーからもそのファイルを読み書きできる状態なら、やりたい放題になる その場合、セッションファイルを保存する場所を変えるとか、ファイルベースではなくDBベースに変更するとかして対策する http://mevius.5ch.net/test/read.cgi/tech/1619667579/827
メモ帳
(0/65535文字)
上
下
前次
1-
新
書
関
写
板
覧
索
設
栞
歴
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
AAサムネイル
Google検索
Wikipedia
ぬこの手
ぬこTOP
0.031s