GRAYCODEのコンテンツへの質問・フィードバックをお寄せください

COMMU

ID:tZS+1Uy3T2

プロフィール画像

ゲスト

https://gray-code.com/php/make-the-board-vol1/
https://github.com/gray-code/make-the-board/tree/master/vol23

・SQLインジェクション脆弱性が存在します。
・管理画面ログインせずに投稿を削除/改竄することが可能です。


SQLインジェクションについては、`SQLエスケープにhtmlspecialchars()を使う`という典型的間違いです。

管理画面は、認証失敗時に`header(Location)`していますが、処理はそこで打ち切られません。
https://qiita.com/karur4n/items/c398b83e70e4479984b4


解説は丁寧でわかりやすくてよいのですが、肝心のコードがよくないのでどうにかしたほうがいいです。

対象ページ:ひと言掲示板を作る

  1. プロフィール画像

    イシド(管理者)

    ID:LsIMC5ssW6

    フィードバックありがとうございます!

    本ワークショップは「とりあえず動くものを作ってみる」に絞っているため、
    たしかにご指摘の通り実践的ではない箇所もございます。

    内容を参考にさせていただきながら、今後どのように内容に取り入れるか検討して参ります。
    大変貴重なご意見ありがとうございました。
    またお気づきの点などございましたら、いつでもご連絡いただけますと幸いです。

フィードバック

ID:KGT2t*2Cpn

プロフィール画像

ゲスト

good

やりたいことがこれで出来るようになりありがとうございました。
かつ、大変勉強になりました。
要望ですが、この状態のままだとアップロードしたファイルがブラウザ上から見えてしまうので、アップロード先をアクセスできないディレクトリーを指定しています。
しかし、そうすると確認画面で添付ファイルの確認ができなくなりました。
解決方法があれば手段も記事にしていただけるとありがたいです。

対象ページ:セッションでフォームの多重送信を防ぐ

  1. プロフィール画像

    イシド(管理者)

    ID:qZSS74Nvkj

    フィードバックありがとうございます!
    お役に立てたようで嬉しいです。

    お問い合わせいただきました件ですが、確認画面で添付ファイルを表示するためには一時的に公開状態にする必要があります。
    そのため、できるだけ添付ファイルを外部に表示しないようにするには以下の対策で「見えづらい」状況にする方法しかありません。

    ・送信完了したタイミングで添付ファイル(アップロードファイル)を削除する
    ・添付ファイルをサーバーにおいた時点でファイル名を複雑にする(英数字ランダムな200文字のファイル名を作成する、など)
    ・送信完了したあとの添付ファイルをサーバーに残す場合は、送信完了後に非公開ディレクトリへファイルを移動する

    明確な解決方法を提示できず恐れ入ります。
    今後とも、よろしくお願いいたします。

COMMU

ID:oTLTjJ6x8j

プロフィール画像

ひろゆき

good

すみません。ひろゆきという名前で質問していたものですが、無事解決いたしました。大変ご迷惑をおかけいたしました。

対象ページ:ひと言掲示板を作る

  1. プロフィール画像

    イシド(管理者)

    ID:IqsTanYGpY

    ひろゆきさん

    お問い合わせいただきありがとうございました!
    返信が遅くなってしまい恐れ入ります。

    無事解決されたとのこと、安心いたしました。
    もしまた進めていくうえでご不明な点がございましたら、いつでもご連絡をお待ちしております!

COMMU

ID:ulapjiXZ9+

プロフィール画像

ひろゆき

good

度々申し訳ございません。
Closed without sending a request; it was probably just an unused speculative preconnection
というエラーが出ています。。。

対象ページ:ひと言掲示板を作る

COMMU

ID:V4IA8mtscK

プロフィール画像

ひろゆき

good

すみません。先ほど質問したものなんですが、表示名を書いて、ひと言メッセージを書かずに書き込むボタンを押すと、上手くいきます。ひと言メッセージはもちろん空ですが。

対象ページ:ひと言掲示板を作る

COMMU

ID:Gy9NELkv1a

プロフィール画像

ひろゆき

すみません。掲示板のソースコードに自分なりにコメントアウトとしてメモしていたからか、書き込むボタンを押してもファイルに情報が保存されなくなりました(書き込むボタンを押しても、掲示板にも反映されなくなりました)。いまいちどこが悪いのかわかりません。このような場合、疑うべきことはなんでしょうか?
var_dump($_POST)ではしっかりと情報が入っていたので、ファイルに保存する段階でなにか問題が発生していると思われます。

対象ページ:ひと言掲示板を作る

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 16