Q&A
認証って何を使って認証しているのでしょうか?あとフレームワークはなにか使っていますか?
form postで入力がされた内容があっているかを元に作った認証ページ内にあるボタンを押すと
'<a href="aaaa.php?id='.$bbb['id'].'">ボタン</a>'
クエリ付きで別ページに飛ぶのですが、ボタンを押さなくても直接そのurlを入力するとそのページが見れてしまいます。
これだと認証ページを作っている意味が無いので認証ページからアクセスしたときだけ見れるようにするにはどのようにすればいいのでしょうか?
formにpostで入力がされたものはactionで指定しているページでpostの内容をチェックすれば直接のアクセスを弾けるのですがgetの場合はどのようにすればいいのかがよくわかりません。
どのようにすればいいのでしょうか?
認証はform postで入力がされた内容があっているかで判断しています。フレームワークは使っていません。
うーん…それは認証の仕組みとして不十分かと思いますが…一応認証用のphpと、リンク一覧が出ているphpを見せられる限り質問文に書いたほうが回答を得られると思います。
今回の質問はクエリ発行元のページの認証の仕方は関係がなかったので。クエリ発行元からのアクセスのみ表示をさせるにはどうすればいいのでしょうか?
あなたの要求は「認証されていないユーザ」が「直接ページを開く」ことを防止することですよね?そのためには認証の仕組みを利用するのが一番手っ取り早いので聞きました。他に確認したいこととして、データベースは使っても大丈夫ですか?
mysqlは使用しています。
回答2件
0
ベストアンサー
まず一番簡単に「ある程度」弾くことができるのは「リファラ」を使ってアクセス元のページを調べることです。
php
1if($_SERVER['HTTP_REFERER'] != 'リンク元のページURL') { 2 // 認証ページ外からのアクセス! 3}
しかし、リファラというのはブラウザがつけてくれるものですが、悪意をもって改ざんすることが可能です。なので、これだけの防御では本当の意味でのセキュリティは担保出来ませんが、にわかユーザの直リンくらいは弾けます。
次に簡単なのはyambejpさんのいうような「ログイン時に特定のセッションデータを書き込んでおいて、そのデータの有無で判定」という方法です。
php
1// 認証のphpの先頭で 2session_start(); 3if(/*認証情報のチェック*/){ 4 $_SESSION['authenticated'] = true; // 認証済とする 5}
php
1// 一覧表示のphpの先頭で 2session_start(); 3if(isset($_SESSION['authenticated']) && $_SESSION['authenticated']) { 4 // 認証済と認める 5} 6else { 7 // 認証していないので排除! 8}
次にログイン認証結果をセッションとして持っておくことです。これが一番セキュリティが高いです。しかし、フレームワークを何も使わずに自力で実装するには難しいです。セッションとデータベースで両方の知識が必要です。あまりにも足すべきコードが多いので割愛します。
投稿2017/10/31 09:25
総合スコア9206
ログイン機能を実装して作成することができました。ありがとうございます。
0
ログインする仕組みにして、特定のセッションデータがない場合は排除すればいいのでは?
投稿2017/10/31 08:55
総合スコア114779
ログイン機能を実装して作成することができました。ありがとうございます。
あなたの回答
tips
プレビュー
