Q&A
> これってphpのurlが分かれば直にブラウザのurl欄にphpファイル名を入力してデータを表示できるじゃないですか。
それがどのように問題となる状況なのでしょうか?
vuejsからphpを読んでphpでmysqlからデータを取得するというのを試しています。
vuejsからaxios.post("phpファイルのurl" ~でphpをよんでphpがデータをechoしてvuejsのresponse.dataでデータを取得します。
これってphpのurlが分かれば直にブラウザのurl欄にphpファイル名を入力してデータを表示できるじゃないですか。
このechoによるデータの取得の仕方って普通ですか?
例えば、毎回サーバーからデータを取ってくるのは重くなるので、最初だけphpでデータを全部取ってきて変数に保存しておき後はvue側で見せる情報と見せない情報を操作をしていた場合。普通はそんなことしませんか?
> 普通はそんなことしませんか?
しません。見せたくない情報は、ブラウザに送るべきではありません(検証ツールで容易に確認できてしまいます)。
回答1件
0
ベストアンサー
これってphpのurlが分かれば直にブラウザのurl欄にphpファイル名を入力してデータを表示できるじゃないですか。
はい。データ表示できます。なので以下の2つのことをします。
- 認証機能を設け、他人の情報がAPIで取得できないようにアクセス制御する
- 正当な利用者がAPIに直接アクセスした際に、利用者自身にも見えてはいけない情報はAPIとして返さない
概ね上記で大丈夫です。XSSとかSQLインジェクションなどはまた別の問題ということで、心配であれば別途質問してください。
投稿2022/08/04 14:07
総合スコア11710
それは例えば下記のようにaという変数をphpに渡すということでしょうか?
axios.post("test.php", {a: b})
php側でaが何かを判定して黒ならデータを返さないとかそんな感じでしょうか。
aはブラウザのソース表示とかデバックモードから見れたりしませんか?
はい。アクセス内容はブラウザの利用者には必ず見えます。なので「利用者からは見えてもよいように作る」ことが基本となります。一方、他人から見えてしまうとまずい場合は認証機能をつけます。
あなたの回答
tips
プレビュー
