プロが教えるわが家の防犯対策術!

この質問を記事投稿後 やっぱり消したいと思って、消すとします。

この時、サーバーに 「◯◯のアカウントで投稿された◯◯番の記事を削除する」 
というリクエストを送っているのであれば
ログインIDはセッション等から読み込むことで書き換えれないでしょうけど
記事番号は POST値やGET値をツール等で書き換えてしまったら
本来消すことのできない記事も消えてしまわないのでしょうか。

つまり SQLにして

UPDATE
 質問テーブル
SET
 表示 = 0
WHERE
 アカウントID = 私のID
AND
 記事ID = この記事のID←この値を改ざん!
 
のようなことがおこらないように一般的にどうやって防いでいるのでしょうか?

A 回答 (1件)

普通考えれば、記事IDには所有者がいて所有者IDでひもづいており


所有者もしくは管理者以外が特定の記事を編集することはできないですよね

>「◯◯のアカウントで投稿された◯◯番の記事を削除する」
というロジックはないです
条件を二重定義しなくても記事番号だけ指定すれば済みます

「○○番の記事を削除する」だけ指定して
WHERE 記事ID = 消したい記事ID AND 所有者ID = 私のID

となるなので、該当するレコードの記事IDと所有者IDが合致しなければ
ヒットしないでしょう
    • good
    • 0
この回答へのお礼

回答有難うございます。

お礼日時:2014/03/27 04:44

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!