回答編集履歴
1
タイポ
answer
CHANGED
|
@@ -2,4 +2,4 @@
|
|
|
2
2
|
|
|
3
3
|
0. ```"rg_#{@month}": "退会"```は、キー名を変数化しているようですが、これはSQLインジェクション攻撃に利用される可能性があります。こんな検索を行う必要はないのでは?
|
|
4
4
|
0. コードやDBや設定ファイルに```http://...```形式で書いてあるURLはないですか?それらはすべてSSLの対象外となります。
|
|
5
|
-
0. なんのためにセッションを使うのかという観点からすると、通常はユーザを識別するためです。毎回セッションをリセットしていたら意味がありません。大事なことは、権限を持たない
|
|
5
|
+
0. なんのためにセッションを使うのかという観点からすると、通常はユーザを識別するためです。毎回セッションをリセットしていたら意味がありません。大事なことは、権限を持たないゲストユーザから正式ユーザになるとき、つまりログインなどでユーザの権限に変化があるときに、前のセッションを破棄して、新しいセッションを開始するようにします。つまり、ログイン時とログアウト時に呼び出すのが普通です。
|