GETやPOSTで送られてきたデータなどは悪意が籠もったデータと考え、出来る限り検証して使う。
よくあるのは、入力値が数値の場合は、数値以外を受け付けないことだろう。
if (preg_match("/^[0-9]+$/", $_POST['id'])) {
$id = $_POST['id'];
}
フレームワークだと便利なvalidationが大体ついてますね。
ホワイトリストを通してデータを使うことを忘れずに!
GETやPOSTで送られてきたデータなどは悪意が籠もったデータと考え、出来る限り検証して使う。
よくあるのは、入力値が数値の場合は、数値以外を受け付けないことだろう。
if (preg_match("/^[0-9]+$/", $_POST['id'])) {
$id = $_POST['id'];
}
フレームワークだと便利なvalidationが大体ついてますね。
ホワイトリストを通してデータを使うことを忘れずに!