アカウント名:
パスワード:
PHPだと$_REQUESTが諸悪の根源だってことなのかな。PHPerにとっては常識だと思うんだけど・・・。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
モノの品質に問題あるんじゃないのそれ (スコア:1)
PHPerにとっては常識だと思うんだけど・・・。
仕事でこれ使ったコード見つけたら 書いた奴呼び出してシバき倒すけどね。
中途採用でVBを10年やってました!って奴がこういうことを知らずに書くから怖い。
というか畑違いはこっちくんなと・・・。
// そして泣く泣く修正し深夜に全工程をテストして再リリースの王道パターン(:>^
// 新人だけのプロジェクトとか技術者一年生向けの問題周知なんだろうけど。
Re: (スコア:1)
すいません知りませんでした。(仕事じゃないけど)
なにがまずいんでしょう?
Re: (スコア:3, 参考になる)
とかいうリンクを他人に踏ませると、このセッションIDでログインさせる事ができる。
(PHPSESSIDという名前のクッキーも、get変数PHPSESSIDも、$_REQUEST['PHPSESSID']では区別しないから)
要するに、セッションキーを盗むのと同じ効果が得られる。セッション・フィクセーション攻撃という、古い古い攻撃手法。
phpのバージョンが古く、session_start()でセッション管理をしてる場合、phpが$_REQUEST相当の変数からセッションキーを読み出す仕様になっている。
それ以外でも、POSTとGETを区別しない$_REQUESTは色々マズい。
例えば<img src="http://www.example.com?title=spam&text=hoge">なんてタグを適当な場所に貼る事で
掲示板に連POST、みたいな事もできたりする。
Re: (スコア:0)
Java Servlet方面(のお勉強)でも、
doGetとdoPostを速攻で同じひとつのメソッドに委譲しちゃう、なんてな実装は
ふつうに書かれていますな。
…致命的?
>例えばなんてタグを適当な場所に貼る事で
>掲示板に連POST
これは「掲示板はGETで書けるように実装すべきではない」っていう話ですか?
…そんなの掲示板の仕様によるんじゃないの?
「ふつうの」掲示板ではたしかにGETで書けるようにしとくメリットは少ないけど。
Re:モノの品質に問題あるんじゃないのそれ (スコア:0)
getとpostを同一視していい場合と、してはダメな場合がある。
検索フォームなんかはどっちでも受け取れたほうが便利だし、実際そうなってる事が多い。
一般に、参照系はgetでも問題ない事が多い。getという名が示す通りだが。
逆に、データ送信系、投稿系など副作用のあるものをgetで受けてしまうと火種になる。
>「掲示板はGETで書けるように実装すべきではない」
結論から言うとイエス。
途中の遷移(表示確認とか)はgetを使ってもいいが、最後の最後、サーバー側のDBなりストレージなりに
変更を加えるリクエストは、一切の例外なく、技術的に可能ならば常にpostのみを受け付けるべき。