アプリケーションのセキュリティ面について疑問に思っています。プロジェクトに CodeIgniter PHP フレームワークを使用しています。
これについて「専門家」の意見を知りたいです。ログイン機能があります。ユーザーがログインすると、セッションがデータベースに保存されます。説明会にユーザーIDなどの情報を追記しました。ユーザーは会社を作成できます。しかし、それを行うには、まず彼のアカウントをチェックして、彼がすでにアカウントを持っているかどうかを確認します. このセッション ユーザー ID を使用すると、DB 要求を実行してそれを見つけることができます。例えば :
function create(){
$hasCompany = $this->Accountmodel->hasCompany($this->session->userdata('id'));
if($hasCompany){
$data['company'] = $this->Companymodel->getCompanyInfo($this->session->userdata('id');
$this->load->view('company/panel', $data);
}
else{
$this->load->view('company/create');
}
}
そして、彼が持っている場合は、会社の編集/削除パネルを印刷できます。myserver.com/company/edit/[id] のような URL での id パラメータの使用を避けることができます。
要するに、セキュリティの観点から、これで問題ないのか、それとも何らかの脆弱性があるのか 疑問に思っていました.
どんなアドバイスも大歓迎です!