月別: 2012年6月

Signed Request から得られる値は数値で
これが外部に公開されているため
第三者が偽造した Signed Request をURLに含めて送ることは可能らしい
このためSQLインジェクション攻撃を受ける可能性がある
確実にSQLインジェクションを阻止するために
プレースホルダを使用した書きかたを使う
WHERE　の中の条件は必ずかっこでかこむ
アクセス元がfacebook であることを HTTP_REFERER環境変数
$_SERVER[‘HTTP_REFERER”]
で確認するなどして　SQLを実行すること
SQLインジェクションはクラックの方法なので、
検索するといろいろとでてきます

facebook アプリの開発中に
API Error Code: 191
API Error Description: The specified URL is not owned by the application
Error Message: Invalid redirect_uri: 指定されたURLは、アプリケーションの設定で許可されていません。
というエラーがでました
原因をさがすため
検索
Facebookアプリ – user-infoを試してみる。
に答えが載っていました
アプリケーションの設定から、使用しているapp_idの、
「アプリの編集」を選び、「Webサイト」「Facebook上のアプリ」に、
Facebookアプリを実行するURLを追加
とあったため、
さっそく設定を変更しました
Website with Facebook Login
をクリックして
サイトURL:
のところへ
URLを記述します
XAMPP で行っているなら、 http://localhost/
レンタルサーバーなら、そのドメインを記述します
今回はタブ型アプリをつくっていたので
ページタブのところだけ
設定したのですが、ログインするようなものを作る場合には
Website with Facebook Login
も設定しないとエラーとなるようです

Signed Request は
facebook アプリの認証の過程で
アプリ側に渡されるクエリーパラメータの１つ
HMAC-SHA256アルゴリズムで
ハッシュ化された署名文字列
と
facebook から渡される情報
（base64方式エンコードされた JSONP テキスト）
が
.
でつなげられている
ユーザ情報が含まれることもあるけど
アプリ認証がすんでいないと一部情報のみになる
https://developers.facebook.com/docs/authentication/signed_request/
に英語だけど解説載っています
内容を少しかいてみました
user
ログインしているユーザ情報（JSONオブジェクト）
algorithm
Signed Request の値をハッシュ値化するための
使用しているアルゴリズム名
issued_at
Signed Request が作成された時刻（UNIX時間）
UNIX時間は
1970/1/1 00:00:00 からの秒数になります
oauth_token
Ｇｒａｐｈ API を呼び出すために必要なトークン
user_id
ログインしているユーザID
app_data
タブ型アプリを表示するときに
アプリのURLに含まれていたクエリー文字列をJSONオブジェクトに
したデータ
page
facebook のID、
いいねしているか
管理者かどうかを示す値を含む
JSONオブジェクト
profile_id
facebook ページのID