フレームワークでWebサービスを作っています。
検索フォームを '/search' ページに設置しました。
その検索結果を例えば /posts/list
などのページに表示しようと思います。
その時に、検索フォームの入力を '/posts/list?keyword=hoge&orderby=DESC' などにしてURLのGETパラメーターに付加し、検索結果を表示しようと思っています。
検索フォームの入力は一旦POSTで処理されて、そのあと、'/posts/list` にリダイレクトし、そのときにURLにパラメーターを付加しています。
パラメーターはフレームワークに渡され、フレームワークはその値から検索して結果を取得しています。
【処理の流れ】
- ユーザーが '/search' ページで検索ワードを入力しPOST送信
- '/search' のPOSTを処理し '/posts/list' にリダイレクト
- '/posts/list' のGETを処理し検索結果をユーザーに表示
POSTをそのまま処理し、/search
ページで検索結果を表示するのが王道だと思うのですが、設計上の都合で /posts/list
にリダイレクトしています。
この設計は危険でしょうか?安全でしょうか?
私はフレームワークが値をバリデーションしてくれるので、たとえばURLからSQLインジェクションのコードを流されても大丈夫だと思うのですが、どうでしょうか。
私はセキュリティについてはほぼ初心者なので、知識のある人のご意見を聞いてみたいです。よろしくお願いいたします。
回答2件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2019/02/01 18:59