Q&A
その後どういう処理をしてるか、したいのか を記載してください。
Laravel 6系
php
1public function index(Request $request) 2 { 3 $user_id = $request->query('user_id'); 4 if( !ctype_digit($user_id) ){ 5 return redirect('/'); 6 } 7 8 if( !User::find($user_id) ){ 9 return redirect(); 10 } 11 return view('user.index',['user_id' => $user_id); 12 }
上記のコードにて、ctype_digit関数にてuser_idが整数値かどうかを検査しています。
検査を実施しない場合、それが原因でセキュリティーホールが生まれてしまうことはありますでしょうか?
issetを使い、存在すれば処理をする、といったような処理はみたことがあったのですが、crypt_digitを始めてみましたが、メリットがよく分からなかったので質問させて頂きました。
ググるヒントなどでもいただけますと幸いです
回答1件
0
ベストアンサー
もし指定のパラメータからDB問い合わせをするのでしたら、正しくフレームワークの機能を使えば一通り何が指定されててもなければnullで返ってくるでしょうし、「存在しないパラメータ値」に対する対応を考えたいのでしたら、teratailと同じようにしてみては?
試しにこの質問のURLの最後の数字を色々いじってみると良いです。存在しない場合にどうなるか見れます。
確かにGETもリクエストですが、DBへの更新と、DBの参照ではまた対応は違ってきます。
投稿2020/12/04 06:47
総合スコア80875
毎度説明不足で申し訳ありません
おっしゃられているように、指定のパラメータのユーザーが存在しない場合はnullで帰ってくるので、userテーブルのカラムが存在しない場合はリダイレクトというところまでは分かったのですが、その前にctype_digitでパラメータが整数値かどうかを判定していたため、このctype_digitの意図が分からない状況でした。
自身が書いたものでないなら書いた人に聞いてください。
でないにしても、出典明示されないと赤の他人にはなんとも言えません。
ご回答ありがとうございます。
承知しました。アドバイスありがとうございます!
書いた本人に伺ってみたいと思います!
あなたの回答
tips
プレビュー
