Signed Request から得られる値は数値で
これが外部に公開されているため
第三者が偽造した Signed Request をURLに含めて送ることは可能らしい
このためSQLインジェクション攻撃を受ける可能性がある
確実にSQLインジェクションを阻止するために
プレースホルダを使用した書きかたを使う
WHERE の中の条件は必ずかっこでかこむ
アクセス元がfacebook であることを HTTP_REFERER環境変数
$_SERVER[‘HTTP_REFERER”]
で確認するなどして SQLを実行すること
SQLインジェクションはクラックの方法なので、
検索するといろいろとでてきます
まとめtyaiました【SQLインジェクション対策】
Signed Request から得られる値は数値でこれが外部に公開されているため第三者が偽造した Signed Request をURLに含めて送ることは可能らしいこのためSQLインジェクション攻撃を受ける可能性がある確実にSQLインジェクションを阻止するためにプレースホルダを使用した書き…