■ このスレッドは過去ログ倉庫に格納されています
webアプリ制作について質問がある
- 1 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:41:01.536 ID:aluxeKbJ0.net
- 今phpの入門書を読んでる最中なのだが
まずphpファイルの中でhtmlの基本的な構造を作る
これをAファイルとする
そのファイルの中から別のphpのファイルBのコードを呼び出すというのが本に書いてる
ここで疑問なのだが誰かがAファイルをコピーして自分に都合のいいように改造して
Bにアクセスするということは可能なんだよね?
俺はゲーム作りを予定してるのだがこういう場合Aはプレイヤーが何を入力しても
おかしくならないような仕組みに作るべきということなんだろうか?
- 2 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:42:25.282 ID:nMVxAEivd.net
- ちょっとわかりにくいからポケモンで例えて
- 3 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:42:48.525 ID:orotwW6g0.net
- 3行
- 4 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:43:04.255 ID:U+A9eNMx0.net
- 当たり前
- 5 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:43:10.010 ID:aluxeKbJ0.net
- >>2
むりw
- 6 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:43:23.597 ID:hzj01QRY0.net
- どんな風にアクセスされてもいいようにBを作るんだよ
Aにとんな制御入れても意味ないから
- 7 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:43:27.535 ID:HNDDArMbr.net
- ブリゴク
- 8 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:43:40.415 ID:1g5F3qeq0.net
- 結果的に動けば何してもいいだろ
- 9 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:43:44.717 ID:aluxeKbJ0.net
- >>4
やっぱり?
- 10 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:43:51.291 ID:wSBPbz5Xr.net
- やろ!
- 11 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:44:18.627 ID:aluxeKbJ0.net
- >>6
そうなのか
ありがとう
- 12 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:45:33.977 ID:Ji9w9mdma.net
- 特定の条件でしか動かさないようにするんだよ
- 13 ::2021/08/21(土) 00:45:43.233 ID:Y9lEP3MJ0.net
- まともに読んでないけどサーバーに元々保持してるHTMLに対してブラウザ上で解釈されたHTMLはコピーなのでこれを改ざんしても基本的にサーバー側には影響がない
サーバーはHTML自体を受信することはない
- 14 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:45:49.716 ID:vzkpJm1wr.net
- やってるけど
- 15 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:47:21.045 ID:aluxeKbJ0.net
- >>12
それはB側でチェックするということ?
- 16 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:48:31.033 ID:aluxeKbJ0.net
- >>13
ブラウザからBを呼び出すのがphpの基本的な仕組みみたい
- 17 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:48:56.270 ID:rPizv4kf0.net
- CORS制限がどうのこうの
- 18 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:49:04.189 ID:Zrf6z2Ip0.net
- よくPHPとかうんこ言語やるな
- 19 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:50:30.260 ID:QOiYeq9z0.net
- プリプロセッサが解釈したHTMLが出力されるからブラウザからは見えんぞ?
- 20 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:51:49.619 ID:rrXO4tpI0.net
- jwt
- 21 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:51:58.091 ID:wq5zBmSGr.net
- 日本人お断り!って女いたな
- 22 ::2021/08/21(土) 00:52:03.740 ID:Y9lEP3MJ0.net
- >>16
ブラウザ上では基本的にJS以外の処理は動いてない
- 23 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:52:51.552 ID:aluxeKbJ0.net
- >>17
それよくわからないのだが、元々webページって同じサイトからしかアクセスできないの?
- 24 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:53:47.472 ID:Zrf6z2Ip0.net
- クロスオリジンだろ
別のサイトから別のサイトに対してリクエストとかを送信できないんだっけな
セキュリティ対策だぞ
- 25 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:53:50.688 ID:rtqySErQr.net
- すぐ使わなくなるよ
- 26 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:55:05.404 ID:oPsshF4S0.net
- >>23
そう基本的にセキュリティの観点で同一オリジンじゃないと駄目
だけど他からAPI呼び出したいときはCORS設定して
許可するオリジンとかを設定することができる
うろ覚えだけど前に軽く勉強したときに
そんな感じだった気がするから間違ってるかもしれない
- 27 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:55:28.090 ID:aluxeKbJ0.net
- >>19
>>22
リクエストを出してphpを呼び出すと書いてる
- 28 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:55:34.048 ID:7LptfnaHr.net
- 酷すぎる
- 29 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:56:21.793 ID:aluxeKbJ0.net
- >>20
よくわからん
どういうものなのそれ?
- 30 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:57:00.337 ID:aluxeKbJ0.net
- >>24
>>26
「同じサイト」の定義ってどんなものなんですか?
- 31 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:57:13.382 ID:oPsshF4S0.net
- >>30
ドメインが同じ
- 32 ::2021/08/21(土) 00:58:18.216 ID:Y9lEP3MJ0.net
- >>27
基本的に正規のページを介さずにURLを叩いた場合に
それがリクエストとして認識されるならそれは脆弱性になる
PHPうんぬんは関係ない
- 33 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:58:18.244 ID:Zrf6z2Ip0.net
- おれもCORSに結構妨害されたわ
- 34 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:59:31.146 ID:aluxeKbJ0.net
- >>31
なるほど
それ以外からのアクセスだとシステム的にエラーになるわけか
- 35 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:59:37.142 ID:Ez3/hzKPr.net
- ツー…ポンッ!
- 36 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:59:37.409 ID:oPsshF4S0.net
- >>30
ごめんちょっと違った🙏
https://yamory.io/blog/about-cors/
俺も前に勉強しただけでよー覚えてないし
詳しくないからあと調べてくりゃれ
- 37 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 00:59:49.181 ID:EabA2R3zr.net
- クレカの番号同じでもいけたっけ?
- 38 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:00:15.810 ID:aluxeKbJ0.net
- >>32
それは通常はエラーになるんですか?
- 39 ::2021/08/21(土) 01:01:03.329 ID:Y9lEP3MJ0.net
- >>38
なるというかする
がんばって正規のリクエストかどうかを判定して
- 40 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:03:38.119 ID:aluxeKbJ0.net
- >>39
正規のリクエストとして判定するのは難しそう
B側で考えた方が簡単そう
- 41 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:03:46.639 ID:lKJ+arqor.net
- さっき久々に入れて見てみたらAランクだった!
- 42 ::2021/08/21(土) 01:05:55.447 ID:Y9lEP3MJ0.net
- そらそうだゲームのサイコロを振るならサーバー側で振るんだ
当たり前の話
- 43 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:09:01.790 ID:aluxeKbJ0.net
- >>42
それはわかる
ただA側でも例えば敵に攻撃が当たってるか的な判定をしたいケースもあると思う
phpはそういうのに向いてないだろうからこれは例え話だけど
- 44 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:11:42.718 ID:F+fnzTfj0.net
- 何作ってるのかよくわからんけど基本的にはセッションって仕組みを使う
Aにアクセスした際に一意のコードを発行してブラウザのcookieなり何なりに保存して
B側でそのコードの有無とか整合性をチェックする
まともな教本ならどこかに書いてると思うが
- 45 ::2021/08/21(土) 01:12:15.883 ID:Y9lEP3MJ0.net
- >>43
サーバーは一つ一つの衝突判定を受け取る必要はないし、受け取っても処理しきれないから、
別のリクエスト単位、トランザクションを考えないといけない。
それがサーバー側で検証可能であればよい。
- 46 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:14:20.850 ID:kogfRFnj0.net
- >>44
これ
- 47 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:14:52.553 ID:aluxeKbJ0.net
- >>44
Aを偽造して偽AとBとの間でセッションが成立してしまわないか?という疑問をもってます
- 48 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:14:59.829 ID:0HYCMlszr.net
- グーグルだろ
- 49 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:17:24.787 ID:F+fnzTfj0.net
- >>47
成立しないようにするのが君のお仕事
ただphpのセッション機能は余程タコな実装しない限りそう簡単には乗っ取れないぞ
自分で試しにやってみればいい
- 50 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:17:53.948 ID:aluxeKbJ0.net
- >>45
衝突検知的なリアルタイム処理はnodeとかソケットを使うというのが俺が知ってる知識です
- 51 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:18:16.934 ID:kogfRFnj0.net
- まずは一意のセッションか何かを発行してみようか
- 52 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:18:35.735 ID:aluxeKbJ0.net
- >>49
なるほど
- 53 ::2021/08/21(土) 01:20:51.511 ID:Y9lEP3MJ0.net
- >>50
普通衝突判定って言ったら毎フレームごとだからいらないよ
- 54 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:22:43.308 ID:yzoWrxdu0.net
- サーバ側のファイルをクライアントがいじれるのは設計がダメだろ
論外
- 55 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:24:05.633 ID:aluxeKbJ0.net
- あのう
セッションIDって上の例で言えばBが発行するんですよね?
偽AがBにアクセスした時にセッションIDの発行もされてしまうんじゃないの?
- 56 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:24:11.693 ID:nGhQEhFer.net
- うふふうぇーい!!
- 57 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:24:21.899 ID:nIHQIig+r.net
- ガチャ1連最高レア0.1以下のクソアプリですわ
- 58 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:25:55.345 ID:kogfRFnj0.net
- 何を言ってるんかさっぱりなんだが
意図しない場所からアクセスされた場合はエラーメッセージとかトップページに遷移させればいいだけじゃね?
- 59 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:26:00.343 ID:KBbWIU7Qr.net
- 他人が作ったちんこサーバーに入れてもらえば
- 60 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:27:09.277 ID:kogfRFnj0.net
- ログインシステムとなんらかわらないでしょ
- 61 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:27:12.920 ID:aluxeKbJ0.net
- >>58
意図しない場所って検知できるの?
- 62 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:27:20.485 ID:+VbHNwxDr.net
- 今降っているかどうかをリアルタイムで教えてくれるだけの何のためにいるのか状態
- 63 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:28:35.989 ID:kogfRFnj0.net
- >>61
それを実装するのがお前の仕事
- 64 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:28:44.266 ID:bCZMcDD7r.net
- 入れてない
- 65 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:29:00.582 ID:5OSQhw+b0.net
- WEBアプリとは何なのかをまず学べ
- 66 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:29:34.717 ID:kogfRFnj0.net
- >>65
それだな
- 67 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:29:45.487 ID:aluxeKbJ0.net
- >>63
ヒントを教えてください
- 68 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:30:36.934 ID:aluxeKbJ0.net
- >>65
よくわからないw
何もわからないw
普段はunityでゲーム作ってる
- 69 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:31:19.993 ID:kogfRFnj0.net
- >>67https://sys-guard.com/post-14594/
- 70 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:32:19.894 ID:F+fnzTfj0.net
- >>55
偽A?が正規の手順でBにアクセスしてきたらそりゃセッションは発行される
偽AとBがそれぞれ他サーバーに置かれてるとかならクロスドメイン弾けば問題ないけど
- 71 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:34:51.382 ID:aluxeKbJ0.net
- >>69
これ「AからBページへの遷移」を確実にさせる仕組みだよね?
「偽AからBページへの遷移」はどうやって防ぐんだ?
- 72 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:36:25.914 ID:kogfRFnj0.net
- >>71
ドメインで弾けばいいと思うけど
- 73 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:36:42.547 ID:aluxeKbJ0.net
- >>70
偽Aは個人が勝手にコピペをして改造しただけというのを考えてるので必然的に別サーバーということになる
それはクロスドメインを弾けばいいだけなのか?
- 74 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:36:48.813 ID:7dKpQf2Nr.net
- うるせーな、バーミヤン で油淋鶏くうぞ!
- 75 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:37:32.662 ID:aluxeKbJ0.net
- >>72
Aのドメインはどう知ればいいの?
- 76 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:37:58.924 ID:J58AH8ucH.net
- 同一オリジンポリシーで防がれてんじゃないの
というかteratailとかスタックオーバーフローとかで聞いたほうが良いと思うよ
- 77 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:38:31.947 ID:F+fnzTfj0.net
- あーなんか懸念してることがわかったぞ
偽Aとか関係なくブラウザ側の値改変でBに対するリクエストを改変されるのが怖いって話だな?
ならそもそもブラウザが送ってくる値を使っちゃいけない
あくまで操作(行動)だけ受け取ってサーバー側の値を使って判定するようにしないと
- 78 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:38:56.104 ID:kogfRFnj0.net
- >>75
URLあるじゃん
- 79 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:39:57.415 ID:J58AH8ucH.net
- >>77
ちがうでしょ
偽サイトから自分のサーバーにアクセスするのを防ぎたいって話でしょ
- 80 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:41:43.761 ID:aluxeKbJ0.net
- https://techacademy.jp/magazine/12320
これで良かったんや
ありがとう!
皆さんのお陰で混乱していた情報が考えとしてまとまって正解を導き出せた!
- 81 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:43:23.775 ID:F+fnzTfj0.net
- >>80
なんかうまいこと正解にたどり着いてない気がするがまぁ頑張ってくれ
- 82 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:44:43.099 ID:J58AH8ucH.net
- >>80
これは叩かれたサイト
偽サイト→お前のAPIとかサイト
↑こっちの情報取得するって話だから
判定できないんじゃない
- 83 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:45:24.042 ID:aluxeKbJ0.net
- >>81
正解ですよ!
これでURL調べて同一ドメインかどうかチェックしたら改造サイトじゃない事が
明らかじゃないですか
- 84 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:45:32.663 ID:swrQ0O4Xr.net
- ワイとつきあおう
- 85 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:45:45.090 ID:fIyPjxY2r.net
- アボガド
- 86 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:46:12.065 ID:1ebsWnj50.net
- 今北産業
- 87 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:47:17.243 ID:aluxeKbJ0.net
- >>82
ん?
これは偽サイトのURLはわからないのかな?
- 88 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:49:37.713 ID:J58AH8ucH.net
- >>87
test3.phpに接続してtest3.phpのurlを表示してるなら
接続されたサイトのURLを表示してるってことだし
まぁ接続元サイトの情報も取得できんのかもしんないけど
というかteratailとかスタックオーバーフローで聞いたほうが悩みを解決できると思うよ
- 89 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:52:29.291 ID:aluxeKbJ0.net
- >>88
今度実際何か作る時に聞きます
ここで軽いやりとりをしたことで問題の所在が判りました
ありがとう
- 90 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:52:36.418 ID:HHemPjXir.net
- いちいち漢字の変換にケチつけてる読者サマもいるよな
この"いちいち"とか"サマ"も変換しろ、みたいに
- 91 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:52:48.389 ID:4VylCAZtr.net
- いいよ
- 92 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:53:01.030 ID:Rd+zcOeXr.net
- 寝るわ!
おやすみ
- 93 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:55:10.552 ID:cQ4blsIOd.net
- 可能ではない
phpのコードはクライアント側じゃなくてサーバー側でしか動かないから
- 94 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:55:50.786 ID:KhbfZL5/0.net
- コードインジェクションの話してんの?
- 95 :以下、?ちゃんねるからVIPがお送りします:2021/08/21(土) 01:59:03.235 ID:kogfRFnj0.net
- >>94
不正アクセスの話
総レス数 95
22 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★