- ベストアンサー
ポータルサイトでのスクリプトについて
ポータルサイトを業者の方に作成してもらいました。 実際に顧客が使う管理画面を触っていたところ、 javascriptやphpがそのまま反映されてしまうことがわかりました。 これって大丈夫なんでしょうか? 私自身そこまで詳しくないため、どんなコードでも反映されるのかどうかはわかりません。 やってみたことは、 ・ハローワールド ・日付選択ボックス ・現在時刻表示 です。 実際に使う顧客側にそこまで知識があるかどうか不明ですが、 これって業者に言って使えなくするべきでしょうか? それともこれはある程度の制限をかければOKなのでしょうか? よろしくお願い致します。
- Excalibur
- お礼率68% (231/335)
- インターネットビジネス
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
No.1さんの回答にありますが、そのサイトは、セキュリティを考慮していない作りになっているようです。 昔は、そんなWebサイトも多かったと思いますけど、現在では、危なくて公開できないサイトですね。 もしかすると、管理画面だけが、いい加減な作りになってるのかもしれませんが、普通に考えれば、全体的に似たような作りだと思うのが普通ですよね? 一般的に、セキュリティを考慮するとコーディングの手間が増えるのですけど、最新のフレームワークを使っていたら、そんなに工数を増やすことなくセキュリティを高めることが可能だと思います。 >>それともこれはある程度の制限をかければOKなのでしょうか? まあ、そうですけど、テキスト入力のある箇所、全ての修正が必要になるので、ちょっと修正作業は面倒だと思います。 IBMのセキュリティ・イベント情報をみますと、2013年度の上半期におけるWebアプリケーションへの攻撃の3/4以上がSQLインジェクションだったといいます。 質問者さんのサイトは、この攻撃を受けると、簡単に攻略されてしまいそうです。
その他の回答 (1)
- hue2011
- ベストアンサー率38% (2800/7250)
レポートがやや舌足らずの気がします。 phpやjavascriptのソースがそのまま表示されるということでしょうか。 とはいえ、開発者の能力不足と思われます。 もしテキスト入力のできるような機能があるのであれば、次のようにタイプしてみてください。 <a href="http://www.yahoo.co.jp">???</a> こう入力したテキストを保存して表示しなおしたらどうなりますか。 そのまま完全に表示するようであれば、能力に不足はありません。 何か変なことを起こしたら、勉強不足の技術者です。 能力不足ですから苦情をいっても方法がわからないと思われます。 業者を替えるべきです。
補足
回答ありがとうございます。 ???のリンクが表示され、クリックするとyahooへ飛びました。 スクリプト書くとその結果がそのまま表示されるので、これって悪意のあるコードを埋められたりしたら…って考えて質問させて頂きました。 反映される時とされない時があり謎です。
関連するQ&A
- ポータルについて
Windowsでファイルメーカー6を使用しています。 ポータルなんですが、見積書に応用を考えています。 Aデータベースは見積書。 顧客名と日付と合計金額。内容はポータル Bデータベースには 日付、顧客名、品名、数量、単価、金額を 入力できるようにしています。 Aから日付でBをリレーションを組み、それをポータルで 表示しようと考えます。 しかし、Aで入力したものはBに反映されていくはずですが、 日付でどんどん入っていくことに関して、 顧客名がBに反映されません。 Aのポータル内で顧客名を入力したくないので どのようにすればよいか教えてください。
- ベストアンサー
- その他(データベース)
- ファイルメーカーPro6 全レコードでのスクリプト実行
お客様のデータ管理をファイルメーカにて行っています。 基本ファイルAと対応履歴の内容ファイルBとがあり、Aにポータルを作成し、顧客ごとの訪問履歴の管理を行っています。 今、このAファイルに新しく、訪問回数をポータル内のレコードの数にて確認するためのレイアウトを作成しました。 複数顧客の状況を一目で確認できるように、リスト形式にて表示させているのですが、どうしてもポータル内のレコード数を計算させるために、顧客ごとにボタン押下にてスクリプトを実行させなければなりません。 顧客数が多いため、はっきり言って現在の状態では活用することが出来ません。 全レコードのスクリプトを一度に作動・計算させる方法はありますでしょうか? もしくは、別の対処方法があるようでしたらご教示いただけたらと思っております。 ちなみに現在は、履歴入力用(ポータルの在る)レイアウト(1)と訪問回数確認用のレイアウト(2)をスクリプトにて、(2)→(1)(ポータル数計算)→(2)と移動させています。 また、ポータル内の最終レコード内にある、日付フィールドの日付(最終対応日)のみを(2)のレイアウトに反映できれば、と思っていますが、どうしても初めのレコードの日付が反映されてしまいます。 あわせて、宜しくお願い致します。
- ベストアンサー
- その他(ソフトウェア)
- ファイルメーカーのリレーションと計算の件
始めまして、教えてください。A(注文)とB(請求)をリレーションしています。A(注文)は顧客コードと日付を入力しています。B(請求)に顧客コードと日付(1週間分)を入力すると請求に反映させるようにしたいです。A(注文)からポータル機能でB(請求)に顧客の注文された品物を任意(1週間分)表示するにはどのようにしたら良いでしょうか?今の計算式はある顧客のすべての請求(今までの注文レコード)がでてしまいます。顧客と日付のリレーションで行う計算式が”顧客&""&(DateToText(日付))は1レコードに1日分の請求しかでません。任意に1レコードに1週間分の請求書を作成する良い方法をご教授願います。
- ベストアンサー
- その他(データベース)
- 引数の数によって関数の動作を変えるには?
引数の数によって関数の動作を変えるには? 以下に例を出します。 <script type="text/javascript"> function hello(hello){ // 引数が1つ alert(hello + ', World!'); } function world(hello, world){ // 引数が2つ alert(hello + ', ' + world + '!'); } hello('Hello'); // Hello, World! world('Hello', 'OKWave'); // Hello, OKWave! </script> hello() と world() を1つにまとめて、 引数が1つなら、hello() の処理を 引数が2つなら、world() の処理をさせることは出来ないでしょうか? イメージとしては、以下のようになります。(実際には動作しません) <script type="text/javascript"> function helloWorld(hello [, world]){ // 第二引数は省略しても良い if(!world){ world = 'World'; } alert(hello + ', ' + world + '!'); } helloWorld('Hello'); // Hello, World! helloWorld('Hello', 'OKWave'); // Hello, OKWave! </script> 目的としては、特定のブラウザで動作しないfunctionを定義して様々なブラウザで使う事です。 例えば、forEach() など。 # 実際に活用するためには、prototypeで拡張するデメリットとかいろいろあると思いますが、興味本位が多分にあるのでそこは多めに見てください…。 forEach - MDC https://developer.mozilla.org/ja/Core_JavaScript_1.5_Reference/Global_Objects/Array/ForEach そういう理由ですので、 helloWorld({ hello:'Hello', world:'World' }); helloWorld(['Hello', 'OKWave']); というようなオブジェクトや配列を渡す方法は使えません…。 何か良い方法はないものでしょうか?
- ベストアンサー
- JavaScript
- 社内ポータルの作成について
表題の件について、ご教示頂けたらと思います。 現在、社内ポータルの構築を検討中です。 経費削減のため業者には頼まず、なんとか社内の人員のみで構築・管理したいと考えているのですが、 ネットワークに関する知識が浅く、情報の検索にも手間取っている状態です。 現在の状況、および目的については下記のとおりです。 1.会社のホームページ有り(自社サーバー) 2.ただし、PHP,MySQLは未インストール 3.WordPressもしくは、CMSを導入予定 4.社外秘の情報も管理予定のため、社外からのアクセスを禁止したい (ポータルへのアクセスをパスワード制限するのではなく、社外から社内ネットワークへアクセスすることを禁止したい) 5.現在、社内で管理しているPC1台ずつにIPを振り分けている 2,3については、こちらで調べてなんとかなりそうですが、 4については、どのような方法が考えられますでしょうか? 先にも述べましたが、知識が浅いため的外れな質問をしているかもしれませんが、 考えられる方法、もしくは参考になるURLやキーワードを教えて頂けると幸いです。 よろしくお願い致します。
- 締切済み
- ネットワーク
- 外部のphpファイルを読み込んで表示させたい
外部からスクリプトを呼び出して実行することはPHPどのようにすればよいのでしょうか? <?php print "Hello World!"; ?> というコードをhello.phpで保存して、サーバAにアップしました。 それで、サーバBからいつでもhello.phpを呼び出して、ページの表示内に組み込みたいのですが、そういうことは可能なのでしょうか? <?php $handle = fopen ("http://<サーバAのアドレス>/hello.php", "r"); print $handle; ?> をサーバBにアップしてブラウザからアクセスしてみましたが、上手くいきませんでした。 ちなみにサーバAのhello.phpのCHMODは755,755どちらに設定すればよいのでしょうか?ファイルが置かれているディレクトリのCHMODも変更するので しょうか?全部やってみましたがうまくいきませんでした。 どうぞよろしくお願いいたします。
- ベストアンサー
- PHP
- accessのデータ更新について
テーブルBの内容をテーブルAに反映させようとしてます。 ●テーブルBの内容 顧客コード 登録日 ステータス ステータス更新日 1 2012/01/01 1 2012/01/01 1 2012/01/01 2 2012/01/02 1 2012/01/01 3 2012/01/04 1 2012/02/02 1 2012/02/03 1 2012/02/02 2 2012/02/04 1 2012/02/02 3 2012/02/06 1 2012/02/02 4 2012/02/08 ●テーブルAの内容 顧客コード 登録日 ステータス 1 2012/02/02 1 2012/01/01 それぞれのテーブルの「顧客コード」、「登録日」をキーにし、テーブルBのステータス更新日の最新の日付のステータスをテーブルAに反映させたいのですが、うまく最新の日付のデータを取得してくれません。どうすれば正しくデータを反映することができますでしょうか? UPDATE b INNER JOIN a ON (b.登録日 = a.登録日) AND (b.顧客コード = a.顧客コード) SET a.ステータス = [b]![ステータス]; という感じにしてます。 処理後結果のテーブルAは、以下になります。 顧客コード 登録日 ステータス 1 2012/02/02 3 1 2012/01/01 2 本当は、以下にしたいのですが、、、、 顧客コード 登録日 ステータス 1 2012/02/02 4 1 2012/01/01 3 テーブルBの並び順をステータス更新日の降順や昇順にかえたりし、何度となくやりましたが、うまくいかない状況です。 なにとぞよろしくお願いいたします。
- ベストアンサー
- その他(データベース)
- php で文章を表示できない
お世話になります。 Xamppをインストールしてあり、HTML文書内にPHPのコードを書いて簡単な文章を表示しようとしていますが、うまくいきません。 添付の写真には、サクラエディターで書いたコードと、赤丸で示した表示内容が写っています。Hello world を表示したいのに ”;?> と出てくるだけです。 これはいったいどうしたことでしょうか。以前に作ったいくつかのPHPプログラムは動作しますので、XamppやPHPがつぶれている様子はありません。 どなたかどうぞ知恵をお貸しください。お願いします。
- ベストアンサー
- PHP
- ファイルメーカーpro6、繰り返しとポータル
ファイルメーカー超初心者です。 以前も同じような質問をさせて頂いたのですが、再質問です。 受注明細ファイルがあります。 日付、顧客名、商品番号、商品名、単価、本数、小計・・・ とういうような内容です。 商品ファイルには、 商品番号、商品名、単価が入力されています。 受注明細ファイルは商品番号でリレーションし、 商品名と単価をルックアップ、繰り返しで設定しています。 ですが繰り返しフィールドを使うと、日別、商品別の小計が出ません。 商品ごとの在庫管理もしたいので、繰り返しフィールドを使わずにポータルを使った方がいいということまではわかるのですが、実際どのようにしたらいいのかさっぱりわかりません。 初心者には繰り返しが理解しやすいということもわかるのですが・・・。 すみませんが、教えて下さる方がいらっしゃいましたら、是非お願いします。
- ベストアンサー
- その他(データベース)
- バーコードリーダーでPCに読み込んだデータの扱い方
USBバーコードリーダーで読み込んだデータを、PHPで作成したサイトに反映させたいのですが、どのような技術で実現できるか分かる方いらっしゃいますでしょうか? LAMP環境で作成した顧客データサイトがあります。 顧客には会員用マイページがあります。 顧客の来店時に、マイページに表示されたバーコードをUSBバーコードリーダーで読み込み、 そのデータを元に顧客データサイト上の顧客を検索して表示できるようにしたいと考えています。 そもそもバーコードリーダーのデータはどのように取り扱われるのでしょうか・・・。 PHPで作成したサイトに取り込むのは可能でしょうか? お分かりになる方、ご教示いただけますと幸いです。
- 締切済み
- その他(プログラミング・開発)
お礼
お礼が遅くなってすみません。 業者にいって、顧客側ではタグが反映されないように改修して頂きました。