質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.47%

  • PHP

    20901questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • JavaScript

    17065questions

    JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

  • MySQL

    6034questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

  • HTML5

    4191questions

    HTML5 (Hyper Text Markup Language、バージョン 5)は、マークアップ言語であるHTMLの第5版です。

  • JSON

    1206questions

    JSON(JavaScript Object Notation)は軽量なデータ記述言語の1つである。構文はJavaScriptをベースとしていますが、JavaScriptに限定されたものではなく、様々なソフトウェアやプログラミング言語間におけるデータの受け渡しが行えるように設計されています。

webアプリでjsonのデータをユーザーに見えないようにしたい

解決済

回答 4

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 1,405

inupoint

score 17

前提・実現したいこと

mysqlから取得したデータををPHPからjavascriptにjson形式の文字列型で渡していますが
このjsonのデータをユーザーに見えないようにしたいです。

発生している問題・エラーメッセージ

以下のソースの「 $jsonStr = json_encode( $db_data );」で、データベースの中身が
ずらりと表示されてしいます。

該当のソースコード

PHP,html,javascript

<html>
<head>
<meta http-equiv="Content-Type" content="text/html;charset=UTF-8" />
<title>PHP DBAccess TEST</title>
</head>
<body>

<?php
//DBへの接続
$mysqli = new mysqli("XXXXXXXXx.ne.jp", "db", "password", "dbmain");

if(mysqli_connect_errno()){
    die('接続失敗です。'.mysqli_connect_error());
}

print('<p>接続に成功しました。</p>');

//処理
        $sql = "SELECT id, FROM datamain";

        unset($db_data); 
        if ($result = $mysqli->query($sql)) {         
          while ($row = $result->fetch_assoc()) {
              $db_data[] = $row;
          }
          $result->free();
        }

    //JSON形式で出力する
    $jsonStr = json_encode( $db_data );

// mysqli_close : DB切断
$close_flag = mysqli_close($mysqli);

if ($close_flag){
    print('<p>切断に成功しました。</p>');
} else {
    die('切断失敗です。');
}
?>

<script>
var maindata = JSON.parse('<?php echo $jsonStr; ?>');
document.write(maindata[2]['id'])

</script>

</body>
</html>

試したこと

ajaxを使えば解決するのかとか考えましたが、試していません。
ajaxの使用経験はありません。

補足情報(言語/FW/ツール等のバージョンなど)

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

checkベストアンサー

+1

もし懸念しているのが、id(各データに振られた一意な値)を見られて勝手に
編集画面なり管理画面からデータを改ざんされるという事なら、その画面を
なんらかの認証の仕組みで保護するべきであって、idを隠す事では解決にはなりません。

閲覧者はこのページのidが34064だということを知っていますが
勝手に質問を改ざんしたりはできません。システム側から質問者本人ではないと
区別が付いているためです。

もし実際にはidではないなら、どういう性質のものかを明記しておけば
より適切な回答が得られるかもしれません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/05 02:23

    DBを丸ごと奪われることを懸念しています。
    ソースにはありませんが、そういったページIDを管理しているのではなく、簡単に言うと、スクリプトで作ったクイズの答えをDBで管理しています。

    本来ajaxで実装するのがよさそうですが、今考えているのは、PHPで都度データを取得し
    PHPから変数でスクリプトに渡してやることを考えています。

    キャンセル

  • 2016/05/05 02:23

    ご回答いただきありがとうございます!

    キャンセル

  • 2016/05/05 02:30

    DBは答えだけでなくアプリケーションに関する大切なデータを管理しているので
    丸ごと持ってかれるのは辛いというのが本音です。

    キャンセル

  • 2016/05/05 21:34

    確かに、クイズの答えなら見られただけでアウトですね...
    アプリケーションの大切なデータに関しては、SELECT q, a FROM datamain
    みたいな感じで取得するカラムを限定すれば大丈夫だと思います。

    それで答えのほうですが、これはユーザーの手の届く場所に置く以上
    暗号化なり難読化なりを施しても基本的には見られるものと
    割り切るしかないのかなあと。

    そこが厳しいなら、成否の判定部分はajax化して
    サーバー側で行うという形になると思います。

    キャンセル

  • 2016/05/06 21:39

    ご回答いただきありがとうございます。

    >それで答えのほうですが、これはユーザーの手の届く場所に置く以上
    >暗号化なり難読化なりを施しても基本的には見られるものと
    >割り切るしかないのかなあと。
    DBを丸ごと渡すのではなく、PHPとmysqlである程度DBデータを編集して最小限のデータをスクリプトに渡す方法を選択しました。
    jsonで丸ごとDBを渡す方法よりはかなりましですが、ユーザーに答えを見られるのは仕方ないことかもしれません。

    キャンセル

  • 2016/05/06 21:47

    ご回答いただきましたとおり、現在はajaxで判定部分を実装すること検討しております。

    キャンセル

+1

$jsonStr 全部を渡さず、 maindata[2]['id']の元となるデータのみ渡せばイイ。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/04 20:40

    回答ありがとうございます。
    何分初心者なもので、まだいまいち納得に行かない点がございます。

    確かにそうですが…やはり、javascriptを使う以上難しいことなんですかね。
    Webアプリを開発するばあい、このような場合の対処はデータを小出しにする方法で
    DBの情報を保護すると…。
    しかし、そうすると、webページを再度読み込む必要が出てきて…できれば一度に取得したいのですが…Web開発においてDBのデータを保護することは難しいことなんでしょうか。

    キャンセル

  • 2016/05/04 20:52

    言っていることがよくわかりませんが、データを部分的に変更させたいのであれば、ajaxで実現すればいいです。
    DBのデータ保護ってなにを指しています?

    キャンセル

  • 2016/05/04 21:01

    ソースに書いてない部分があったので、わかりませんよね。すみません。

    実際にはmaindata[2]['id']だけではなくて、1000近いレコードを一度にプログラムで使用します。
    やはり、ajaxでDBにアクセスする方法ならばユーザーにDBの中身を公開することなく、webアプリが実現できそうですね。

    >DBのデータ保護ってなにを指しています?
    JSON.parse('<?php echo $jsonStr; ?>'); で表示される部分ではDBから取得してきたデータの中身がすべてユーザーに公開されてしまいますが、それを防ぎたいです。

    キャンセル

  • 2016/05/04 21:16

    php で $josnStr に全てのデータを入れているので、その中で必要な物を $jsonStr に改めて入れてあげるか、または別の変数で渡すかするのが一般的です。
    そもそも1つのphpファイルの中で、わざわざjsonで渡す意味がわからないので、何かのプログラムを見ながら試行錯誤しているのだと思いますが。。。

    何か根本的に間違っている気がするので、サンプルプログラムでも探して眺めてみてはいかがですか?DBから情報を取り出して表示するのなら、掲示板プログラムとかが参考になると思います。まぁ、それ以外も大概はDBへアクセスするので何でも良いとは思いますが。

    キャンセル

  • 2016/05/04 21:53

    >そもそも1つのphpファイルの中で、わざわざjsonで渡す意味がわからないので
    そうですか…ご指摘の内容の意味はわかりませんが、何か一般的な方法ではないのでしょう。

    >何か根本的に間違っている気がする
    おそらくそうでしょう、なんとなく自分でもそう思います。すべて独学で一般的にどうしてるかなかなかわからず苦戦しています。
    初心者用の書籍でも探してみてみます。

    >掲示板プログラムとかが参考になると思います
    そうですか。ありがとうございます。ちょっと探してみて眺めてみます。
    おそらくその辺が近道でしょう…。

    すこし解決のとっかかりができました。
    ご回答ありがとうございました!

    キャンセル

+1

表示されるのは

echo $jsonStr;


とプログラムで表示しているからで、
見せたくないならコメントアウトすればいいんじゃ?
とか思うんですが、なんか勘違いしてんかなあ。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/04 21:38

    試してみましたが、
    このプログラムの場合は、やはりechoが必要でした。

    でも、表示しなければいいという発想は必要な発想でした。
    回答ありがとうございました。

    キャンセル

  • 2016/05/04 21:53

    //JSON形式で出力する
    の下のやつをいったつもりですが、ひょっとして
    <script> の下のやつを消したりしてませんか?

    キャンセル

  • 2016/05/04 22:20

    ソースを表示したときの話で、$jsonStr = json_encode( $db_data )の部分について言及しています。
    わかりづらい質問ですみません。

    すみません。この一文は消すべきでした。

    キャンセル

  • 2016/05/04 22:21

    ><script> の下のやつを消したりしてませんか?
    そこだと思ってやってました。

    キャンセル

  • 2016/05/04 23:16

    理解しました。そういう話なら、
    $jsonStr = json_encode( $db_data );
    の前に必要なデータだけ絞り込んでやればいいんじゃないかと。

    キャンセル

  • 2016/05/04 23:32

    そうですね。PHPでパースして…っていう流れも検討していろいろ試してみます。
    ご教授いただきありがとうございました!

    キャンセル

+1

手っ取り早い安直な手段で、本当に悪意のある攻撃者には意味のない対策のためオススメはしません。という前置きの上、さらに bad を押されてしまうかもしれませんが 笑

パッと見のソース上で隠蔽したいだけならbase64でエンコードして echo で出力、スクリプト側でデコードしてから利用すればいいのでは? と思います。さらに、jsonを扱うjavascriptを難読化しておけば、ライトな攻撃者くらいは該当のjsonを探ることを諦めてくれるでしょう。

これは、webサイトの種類や、その上でどこにコストをかけるのかにもよりますが、正直言ってB2Cなメーカーの商品webサイトくらいならそのくらいの対策で十分だと思います。

エンコード、デコードは以下のようなサイトで試してみてください。
http://www.url-encode-decode.com/base64-encode-decode/

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/04 23:08

    ご回答いただきありがとうございます。

    自分の現状のスキルから考えて、このあたりが落としどころかもしれません。
    いい方法が見つからない場合、bleurougeさんの方法で検討させていただきます。

    ご教授いただきありがとうございました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.47%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

  • 解決済

    データベースからすべてのテーブルを削除する方法を教えて下さい(PHP)

    データベースからすべてのテーブルを消去したいと思うのですが、データベース自体を削除するのではなく、テーブルのみを削除したいです。そのようなことは出来ますか? もし方法があれば、出

  • 解決済

    mysqlでデータベースへの接続はできるが

    mysqlでデータベースを扱おうと試行錯誤しているのですがなかなかうまくいきません。 PHPを用いてmysqlに接続しphptestというデータベースのtweet_tblというテー

  • 解決済

    jsでphpファイル(API)を読み込む方法

    htmlファイルからjsでapiを読み込みたいと思っています。 具体的にやりたいことは下記です。 usercontent.php データベースからユーザー名と住所を取得する処理

  • 解決済

    (datepicker)jQueryでhtml構築

    入出力を想定した一覧テーブルでページングを非同期で行うときに、htmlの構築をしています。 それで、その中に日付の項目があり、datepickerが使えなくて悩んでいます。 jQ

  • 解決済

    どこが間違っていますか?ゲストブック

    locationの部分を完全なアドレスを書いていましたが、 下記のように書き換えたところエラーが出てしまいました。 書き方が間違っているのでしょうか。 送信ボタン押下後の、表示画面

  • 解決済

    画面遷移なしで編集したいのですが、書き方が全くわかりません。。

    「編集」と「削除」を画面遷移なしで実行したいのですが、ajaxが分からず困っています。どうすれば、意図した結果が得られるでしょうか?>< PHPとMySQLを使っています。 PH

  • 解決済

    Ajaxで、JavaScriptからPHPにデータを送る

    前提・実現したいことAjaxを使ってJavaScriptからPHPにデータを送りたいのですが、Ajaxが読み込まれません。 どこか間違いなどあるのでしょうか? Ajaxを触るのは今

  • 解決済

    PHPとMySQLについて

    ](fadebad2fd9a28a1fd4d1ebd714c7f9b.png) 今、PHPとMySQLを使った認証システムを作成しているのですが、ここで質問があります。

同じタグがついた質問を見る

  • PHP

    20901questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • JavaScript

    17065questions

    JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

  • MySQL

    6034questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

  • HTML5

    4191questions

    HTML5 (Hyper Text Markup Language、バージョン 5)は、マークアップ言語であるHTMLの第5版です。

  • JSON

    1206questions

    JSON(JavaScript Object Notation)は軽量なデータ記述言語の1つである。構文はJavaScriptをベースとしていますが、JavaScriptに限定されたものではなく、様々なソフトウェアやプログラミング言語間におけるデータの受け渡しが行えるように設計されています。