人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

Flash側からPHPにPOSTで渡す処理で
その中にSQLを混ぜるのは、やはりセキュリティ的観点から
NGでしょうか?

●質問者: makocan
●カテゴリ:インターネット ウェブ制作
✍キーワード:Flash PHP SQL セキュリティ
○ 状態 :終了
└ 回答数 : 4/4件

▽最新の回答へ

1 ● b-wind
●23ポイント

もう少し具体的でないと適切な回答はしかねるが、

その中にSQLを混ぜるのは、やはりセキュリティ的観点からNGでしょうか?

少なくとも POST された SQL 文を「そのまま実行する」のはNG。

パケットキャプチャはもちろんブラウザのアドオンだけでも通信の中身を見るのは容易いからね。

好きな SQL を実行してくださいと言っているような物。


また PHP 側で検証するとしても SQL 文全体を送信するように

なっているのであればテーブルやカラムと言ったデータ構造をわざわざさらして事になる。

悪意を持った第3者からすれば直接的ではない物の、SQL Injection 等をする難易度は劇的に下がる。


例外的に有りなのは phpMyAdmin 等に代表されるようなDB管理ツールの類を作成する場合。

これらは SQL を実行することも機能の一つだから。

人力検索はてな


2 ● sirotugu40
●23ポイント

>その中にSQLを混ぜるのは、やはりセキュリティ的観点からNGでしょうか?

盗聴されてハックされないSQLならOK。

http://q.hatena.ne.jp/answer


3 ● goog20090901
●22ポイント

どうでも良いようなデータを取得してるのなら

問題ないですね。

http://q.hatena.ne.jp/answer


4 ● azumi1975
●22ポイント

SSL通信してるのなら、問題ないです。

http://q.hatena.ne.jp/answer

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ