Q&A
「セキュリティー」タグを付けてください。言語もPHPに限らないほうが良いかと思います。
例えばユーザー同士が商品の売買をできるようなサイトがあるとします。
自分ではないユーザーの名前をクリックすると、遷移したページでそのユーザーが出品した商品一覧を見られるようにする場合、
GETパラメータとしてユーザーIDを付与して遷移し、遷移した先でGETパラメータを元にユーザーの情報を絞り込んで表示させたいと考えています。
そこで、ユーザーIDをGETパラメータとして付与するのはセキュリティ的に問題ないのか質問させてください。
回答3件
0
ベストアンサー
あまり問題になるケースが思い浮かびません。
「このユーザーの情報を見る」と一意な情報が必要な仕様であるわけですから、どうにかこうにか渡さなければなりません。
GETのようにURLに持たなかったとしても、HTMLにはどこかに現れる形になります。
となると、「そもそも他のユーザーの情報を見れるようにしているのが間違い」にもなり得ます。
ただ、teratailもユーザーの情報はユーザー名が分かれば誰でもユーザー情報を確認できます。URL直打ちでいけるので、GETです。
先にあるアドバイスのようにSQLインジェクション対策を施した上で「他のユーザーに見せる情報、見せない情報」をきちんと精査して(またはユーザー側で設定させて)おけば問題ないのではないでしょうか。
アプリケーションを作られている方でも「問題でそうなケース」を考えてみては。
投稿2020/04/18 21:15
総合スコア80861
あなたの回答
tips
プレビュー
