teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップHTML5に関する質問
HTML5

HTML5 (Hyper Text Markup Language、バージョン 5)は、マークアップ言語であるHTMLの第5版です。

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

JSON

JSON(JavaScript Object Notation)は軽量なデータ記述言語の1つである。構文はJavaScriptをベースとしていますが、JavaScriptに限定されたものではなく、様々なソフトウェアやプログラミング言語間におけるデータの受け渡しが行えるように設計されています。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

Q&A

解決済

4回答

6118閲覧

webアプリでjsonのデータをユーザーに見えないようにしたい

inupoint
inupoint

総合スコア25

HTML5

HTML5 (Hyper Text Markup Language、バージョン 5)は、マークアップ言語であるHTMLの第5版です。

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

JSON

JSON(JavaScript Object Notation)は軽量なデータ記述言語の1つである。構文はJavaScriptをベースとしていますが、JavaScriptに限定されたものではなく、様々なソフトウェアやプログラミング言語間におけるデータの受け渡しが行えるように設計されています。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

0グッド

1クリップ

投稿2016/05/04 11:20

編集2016/05/06 12:45

0

1

###前提・実現したいこと
mysqlから取得したデータををPHPからjavascriptにjson形式の文字列型で渡していますが
このjsonのデータをユーザーに見えないようにしたいです。

###発生している問題・エラーメッセージ
以下のソースの「 $jsonStr = json_encode( $db_data );」で、データベースの中身が
ずらりと表示されてしいます。

###該当のソースコード
PHP,html,javascript

<html> <head> <meta http-equiv="Content-Type" content="text/html;charset=UTF-8" /> <title>PHP DBAccess TEST</title> </head> <body> <?php //DBへの接続 $mysqli = new mysqli("XXXXXXXXx.ne.jp", "db", "password", "dbmain"); if(mysqli_connect_errno()){ die('接続失敗です。'.mysqli_connect_error()); } print('<p>接続に成功しました。</p>'); //処理 $sql = "SELECT id, FROM datamain"; unset($db_data); if ($result = $mysqli->query($sql)) { while ($row = $result->fetch_assoc()) { $db_data[] = $row; } $result->free(); } //JSON形式で出力する $jsonStr = json_encode( $db_data ); // mysqli_close : DB切断 $close_flag = mysqli_close($mysqli); if ($close_flag){ print('<p>切断に成功しました。</p>'); } else { die('切断失敗です。'); } ?> <script> var maindata = JSON.parse('<?php echo $jsonStr; ?>'); document.write(maindata[2]['id']) </script> </body> </html>

###試したこと
ajaxを使えば解決するのかとか考えましたが、試していません。
ajaxの使用経験はありません。

###補足情報(言語/FW/ツール等のバージョンなど)

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答4

0

ベストアンサー

もし懸念しているのが、id(各データに振られた一意な値)を見られて勝手に
編集画面なり管理画面からデータを改ざんされるという事なら、その画面を
なんらかの認証の仕組みで保護するべきであって、idを隠す事では解決にはなりません。

閲覧者はこのページのidが34064だということを知っていますが
勝手に質問を改ざんしたりはできません。システム側から質問者本人ではないと
区別が付いているためです。

もし実際にはidではないなら、どういう性質のものかを明記しておけば
より適切な回答が得られるかもしれません。

投稿2016/05/04 16:01

nnssn
nnssn

総合スコア1221

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

inupoint
inupoint

2016/05/04 17:23

DBを丸ごと奪われることを懸念しています。 ソースにはありませんが、そういったページIDを管理しているのではなく、簡単に言うと、スクリプトで作ったクイズの答えをDBで管理しています。 本来ajaxで実装するのがよさそうですが、今考えているのは、PHPで都度データを取得し PHPから変数でスクリプトに渡してやることを考えています。
inupoint
inupoint

2016/05/04 17:23

ご回答いただきありがとうございます!
inupoint
inupoint

2016/05/04 17:30

DBは答えだけでなくアプリケーションに関する大切なデータを管理しているので 丸ごと持ってかれるのは辛いというのが本音です。
nnssn
nnssn

2016/05/05 12:34

確かに、クイズの答えなら見られただけでアウトですね... アプリケーションの大切なデータに関しては、SELECT q, a FROM datamain みたいな感じで取得するカラムを限定すれば大丈夫だと思います。 それで答えのほうですが、これはユーザーの手の届く場所に置く以上 暗号化なり難読化なりを施しても基本的には見られるものと 割り切るしかないのかなあと。 そこが厳しいなら、成否の判定部分はajax化して サーバー側で行うという形になると思います。
inupoint
inupoint

2016/05/06 12:39

ご回答いただきありがとうございます。 >それで答えのほうですが、これはユーザーの手の届く場所に置く以上 >暗号化なり難読化なりを施しても基本的には見られるものと >割り切るしかないのかなあと。 DBを丸ごと渡すのではなく、PHPとmysqlである程度DBデータを編集して最小限のデータをスクリプトに渡す方法を選択しました。 jsonで丸ごとDBを渡す方法よりはかなりましですが、ユーザーに答えを見られるのは仕方ないことかもしれません。
inupoint
inupoint

2016/05/06 12:47

ご回答いただきましたとおり、現在はajaxで判定部分を実装すること検討しております。
guest

0

手っ取り早い安直な手段で、本当に悪意のある攻撃者には意味のない対策のためオススメはしません。という前置きの上、さらに bad を押されてしまうかもしれませんが 笑

パッと見のソース上で隠蔽したいだけならbase64でエンコードして echo で出力、スクリプト側でデコードしてから利用すればいいのでは? と思います。さらに、jsonを扱うjavascriptを難読化しておけば、ライトな攻撃者くらいは該当のjsonを探ることを諦めてくれるでしょう。

これは、webサイトの種類や、その上でどこにコストをかけるのかにもよりますが、正直言ってB2Cなメーカーの商品webサイトくらいならそのくらいの対策で十分だと思います。

エンコード、デコードは以下のようなサイトで試してみてください。
http://www.url-encode-decode.com/base64-encode-decode/

投稿2016/05/04 13:29

bleurouge
bleurouge

総合スコア161

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

inupoint
inupoint

2016/05/04 14:08

ご回答いただきありがとうございます。 自分の現状のスキルから考えて、このあたりが落としどころかもしれません。 いい方法が見つからない場合、bleurougeさんの方法で検討させていただきます。 ご教授いただきありがとうございました。
guest

0

表示されるのは

PHP
1echo $jsonStr;

とプログラムで表示しているからで、
見せたくないならコメントアウトすればいいんじゃ?
とか思うんですが、なんか勘違いしてんかなあ。

投稿2016/05/04 12:06

takasima20
takasima20

総合スコア7458

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

inupoint
inupoint

2016/05/04 12:38

試してみましたが、 このプログラムの場合は、やはりechoが必要でした。 でも、表示しなければいいという発想は必要な発想でした。 回答ありがとうございました。
takasima20
takasima20

2016/05/04 12:53

//JSON形式で出力する の下のやつをいったつもりですが、ひょっとして <script> の下のやつを消したりしてませんか?
inupoint
inupoint

2016/05/04 13:20

ソースを表示したときの話で、$jsonStr = json_encode( $db_data )の部分について言及しています。 わかりづらい質問ですみません。 すみません。この一文は消すべきでした。
inupoint
inupoint

2016/05/04 13:21

><script> の下のやつを消したりしてませんか? そこだと思ってやってました。
takasima20
takasima20

2016/05/04 14:16

理解しました。そういう話なら、 $jsonStr = json_encode( $db_data ); の前に必要なデータだけ絞り込んでやればいいんじゃないかと。
inupoint
inupoint

2016/05/04 14:32

そうですね。PHPでパースして…っていう流れも検討していろいろ試してみます。 ご教授いただきありがとうございました!
guest

0

$jsonStr 全部を渡さず、 maindata[2]['id']の元となるデータのみ渡せばイイ。

投稿2016/05/04 11:28

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

inupoint
inupoint

2016/05/04 11:40

回答ありがとうございます。 何分初心者なもので、まだいまいち納得に行かない点がございます。 確かにそうですが…やはり、javascriptを使う以上難しいことなんですかね。 Webアプリを開発するばあい、このような場合の対処はデータを小出しにする方法で DBの情報を保護すると…。 しかし、そうすると、webページを再度読み込む必要が出てきて…できれば一度に取得したいのですが…Web開発においてDBのデータを保護することは難しいことなんでしょうか。
退会済みユーザー

退会済みユーザー

2016/05/04 11:52

言っていることがよくわかりませんが、データを部分的に変更させたいのであれば、ajaxで実現すればいいです。 DBのデータ保護ってなにを指しています?
inupoint
inupoint

2016/05/04 12:01

ソースに書いてない部分があったので、わかりませんよね。すみません。 実際にはmaindata[2]['id']だけではなくて、1000近いレコードを一度にプログラムで使用します。 やはり、ajaxでDBにアクセスする方法ならばユーザーにDBの中身を公開することなく、webアプリが実現できそうですね。 >DBのデータ保護ってなにを指しています? JSON.parse('<?php echo $jsonStr; ?>'); で表示される部分ではDBから取得してきたデータの中身がすべてユーザーに公開されてしまいますが、それを防ぎたいです。
退会済みユーザー

退会済みユーザー

2016/05/04 12:16

php で $josnStr に全てのデータを入れているので、その中で必要な物を $jsonStr に改めて入れてあげるか、または別の変数で渡すかするのが一般的です。 そもそも1つのphpファイルの中で、わざわざjsonで渡す意味がわからないので、何かのプログラムを見ながら試行錯誤しているのだと思いますが。。。 何か根本的に間違っている気がするので、サンプルプログラムでも探して眺めてみてはいかがですか?DBから情報を取り出して表示するのなら、掲示板プログラムとかが参考になると思います。まぁ、それ以外も大概はDBへアクセスするので何でも良いとは思いますが。
inupoint
inupoint

2016/05/04 12:53

>そもそも1つのphpファイルの中で、わざわざjsonで渡す意味がわからないので そうですか…ご指摘の内容の意味はわかりませんが、何か一般的な方法ではないのでしょう。 >何か根本的に間違っている気がする おそらくそうでしょう、なんとなく自分でもそう思います。すべて独学で一般的にどうしてるかなかなかわからず苦戦しています。 初心者用の書籍でも探してみてみます。 >掲示板プログラムとかが参考になると思います そうですか。ありがとうございます。ちょっと探してみて眺めてみます。 おそらくその辺が近道でしょう…。 すこし解決のとっかかりができました。 ご回答ありがとうございました!
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップHTML5に関する質問

webアプリでjsonのデータをユーザーに見えないようにしたい