回答編集履歴
3
ed
test
CHANGED
|
@@ -1,5 +1,6 @@
|
|
|
1
1
|
・includeするということは画面表示時に実行されているから、つまりリクエストメソッドはGET。POSTでは参照できない。
|
|
2
2
|
・POSTでは参照できてない値を突っ込むことになっているので、`WHERE ID = `となって、SQLとしては不正。
|
|
3
|
+
・そもそも入力しただけで送信してないのでは?
|
|
3
4
|
↑起きてる問題の原因。
|
|
4
5
|
|
|
5
6
|
あとその他。
|
2
ed
test
CHANGED
|
@@ -1,4 +1,4 @@
|
|
|
1
|
-
・includeするということは画面表示時に実行されているから、つまりリクエストメソッドはGET。POSTでは参照できない
|
|
1
|
+
・includeするということは画面表示時に実行されているから、つまりリクエストメソッドはGET。POSTでは参照できない。
|
|
2
2
|
・POSTでは参照できてない値を突っ込むことになっているので、`WHERE ID = `となって、SQLとしては不正。
|
|
3
3
|
↑起きてる問題の原因。
|
|
4
4
|
|
1
ed
test
CHANGED
|
@@ -8,6 +8,7 @@
|
|
|
8
8
|
・例外処理を入れているのがDB接続時だけでSQL実行時にはされていない
|
|
9
9
|
・テーブル定義次第だが、いずれにしても値をそのままSQLに突っ込んでいてSQLインジェクションの脆弱性がある
|
|
10
10
|
・取得できても結果をreturnしているだけで、どこに返しているつもり?
|
|
11
|
+
・DBから取得した情報をそのまま出力しているのでXSS可能
|
|
11
12
|
|
|
12
13
|
formのaction属性は「リクエスト送信先URL」であり、画面遷移と同等です。
|
|
13
14
|
returnしたところでどこにも返しません。
|