Q&A
> ID:2のユーザ情報が表示されてしまいます。
なぜそれがよくないのでしょうか?
前提・実現したいこと
現在、PHPでマイページ(ユーザ登録情報変更ページ等のユーザ固有のページ)を作っています。
そのときに
のidの値を直接2に書き換えたとき、ID:2のユーザ情報が表示されてしまいます。(→ユーザ2がユーザ1の情報を盗み見ることができる)
こういったURLの不正な書き換えがされた場合に表示されないようにしたいです。
試したこと
IDをランダムな文字列で生成
→ページ遷移する度に値が変わるのでユーザの情報が得られない
回答2件
0
ベストアンサー
設計が良くないのでは。
「マイページ」という単語から推測するに、「ログインユーザのプロフィールや固有設定のページ」と思われます。
でしたら、ログインIDなど固有の情報をセッションに持っておきそこから検索するように実装すれば、クエリストリング必要なく、同じURLでユーザ別のページが表示できるようになるはずです。
クエリストリングで構成するページは基本的に誰にでも公開されているページを対象としてください。
投稿2021/08/30 06:03
総合スコア80861
teratailや他のSNSも参考になると思います。
ログインユーザーとそうでないユーザーで表示する要素をわけたり、そもそもログインユーザーのみの情報を出したり。
お手本はそこかしこに転がっています。
別のURLでなければユーザ別のページを表示できないと思っていました。そして、クエリストリングは情報が漏れる可能性があるのですね、、、。
ご意見いただいたことを参考にしたため、セッションを使ってユーザ固有のページを実装することができました。本当にありがとうございました!
ユーザから見れるものは見れて問題ない情報を出すのが鉄則です。
あなたの回答
tips
プレビュー
