続きーフォーム送信したら「type:csrf」や「type:auth」エラーが出ます。
manhoo > 続きーフォーム送信したら「type:csrf」や「type:auth」エラーが出ます。 @ 2015/3/26 11:12 |
---|
初めて質問の初心者です、宜しくお願いします。
固定ページ作成でフォーム(POST)を作りましたが、「フォーム送信したら「type:csrf」や「type:auth」エラーが出ます。 」が出ました、下記の記事を参照して(GET)を変更して、 http://forum.basercms.net/modules/newbb/viewtopic.php?topic_id=1803&forum=3 エラーがなくなりましたが、検索できません。下記ページ通りです。 http://www.km-co.jp/hidled でも、basercms管理画面ログインすると上手く検索できます。IE、Firefox、Google、Opera全部同じ確認済です。 basercms以外の場所で全く問題なくアクセスも検索もできています。 http://hidled.km-co.jp/ baserCMSのメール、検索プラグインで代用したいですが、やり方全然分かりません、お願い致します。
■ BaserCMSのバージョン:4.1.6 |
n1215 > Re: 続きーフォーム送信したら「type:csrf」や「type:auth」エラーが出ます。 @ 2015/3/27 22:15 |
---|
manhoo 様
ご提示いただいているPHPのコードですが、SQL文にそのまま入力が利用されており、 SQLインジェクション攻撃を受けそうなコードとなっています。 ひとまず投稿を編集して人目につかないようソース部分を削除していただいたほうがよろしいかと思います。 さて本題ですが、PHPのコードと元のサイトを拝見する限り、 検索結果を表示するGET先のURLは検索ボタンが置いてあるページのURLと同じという認識で良いですよね? http://www.km-co.jp/hidled?syasyu=ist http://www.km-co.jp/hidled?mkind=ist ログインした際には正常に処理されているということであれば、 サーバーキャッシュの問題である可能性が高いです。 サイト全体としてキャッシュを無効にするか検索ページをキャッシュしないような設定が必要ですね。
で囲んだ部分をキャッシュさせないようにするという対応はいかがでしょうか? また、baserCMSの検索フォームはこの目的に沿っていないので、改造して利用するのは無駄な労力になります。 利用されているならHTML直書きに変更してください。 Twitter: @n_1215 |
arata > Re: 続きーフォーム送信したら「type:csrf」や「type:auth」エラーが出ます。 @ 2015/3/27 22:50 |
---|
manhoo さん、こんにちは。
表示したい固定ページの管理側編集画面下部にある code欄に
と書けば、その固定ページではキャッシュが効かなくなります。 それと、これを書く前に、既にそのページのビュー・キャッシュが存在する場合はキャッシュが優先されてしまうので、 書いたあとは一度「サーバキャッシュの削除」を実行してください。 ※管理側から保存ボタンで更新した場合は、キャッシュ削除していたような気はします。。。が、おぼえてはいないので、ダメだったら一括で削除できるサーバキャッシュ削除やってみてください。 ■ 不明点解消できるかも。逆引きガイドもあります baserCMS公式wiki |
manhoo > Re: 続きーフォーム送信したら「type:csrf」や「type:auth」エラーが出ます。 @ 2015/3/28 9:07 |
---|
n1215 様
ありがとうございます。 スムーズに解決できました。 引用: ひとまず投稿を編集して人目につかないようソース部分を削除していただいたほうがよろしいかと思います。 隠しました、笑 また宜しくお願い致します。 ■ BaserCMSのバージョン:4.1.6 |
manhoo > Re: 続きーフォーム送信したら「type:csrf」や「type:auth」エラーが出ます。 @ 2015/3/28 9:12 |
---|
arata 様
このコード追加したらすぐにできました。 ありがとうございました。 http://magazine.barket.jp/article/archives/category/plugin プラグイン作成を勉強して、追加もできました。 プラグインのほう、上記のコードを入れなくても、サーバーキャッシュの問題がなかったみたいです。 ■ BaserCMSのバージョン:4.1.6 |
manhoo > Re: 続きーフォーム送信したら「type:csrf」や「type:auth」エラーが出ます。 @ 2015/3/28 9:19 |
---|
n1215 様
引用: 検索結果を表示するGET先のURLは検索ボタンが置いてあるページのURLと同じという認識で良いですよね? syasyu==mkindですが、 このソースは先輩に書いてもらったので、一緒にしてもいいと思いますが、 何か不具合が出ないかなと思って、諦めました。 もし大丈夫でしたら、1つにしたいです。ぜひご教授頂きたいです。 宜しくお願い致します。 ■ BaserCMSのバージョン:4.1.6 |
n1215 > Re: 続きーフォーム送信したら「type:csrf」や「type:auth」エラーが出ます。 @ 2015/3/31 20:00 |
---|
manhoo 様
申し訳ないですが、前述の脆弱性の問題もあり、掲示板上では非常に回答しにくいです。 プラグインとして適切に実装するのであれば、コードの大半を書き直すことにもなりかねません。 実装についてのご相談は、お近くのbaserパートナー にお問い合わせ頂くのがいいかと思います。 http://basercms.net/partners/ 繰り返しになりますが、最初にご提示いただいたソースは、入力内容のチェックが不十分であり、 SQLインジェクションの危険性があるように見受けられました。 (サーバに重要な情報が入っていない場合はまだ笑い話で済みますが、 少なくともbaserCMSのユーザ情報やお問い合わせ内容などは抜き取られる可能性があります。) フリーのオープンソースソフトウェアやコード片の利用が金銭的コストの削減に有効なのは確かですが、 人的なコストはむしろ上がりますし、OSSの利用による被害の責任も利用者自身が取ることになります。 特にPHPは入門ハードルが低さゆえに、野良コードの質は玉石混交です。 潜在的なリスクを鑑みれば、金銭的コストをかけてでもその道の専門家によって適切に取り扱うことを検討する価値はあると思います。 大変おせっかいな話ではありますが、OSSの本当のコストを認識された上で、対策をご検討頂ければと思います。 Twitter: @n_1215 |
manhoo > Re: 続きーフォーム送信したら「type:csrf」や「type:auth」エラーが出ます。 @ 2015/4/16 11:01 |
---|
n1215 様
色々な対策のご提案ありがとうございます。 ご参考させていただきます。 このフォームの使い方まだ慣れてないため、お返事遅くなりました。 プラグインを勉強して、無事に実装致しました。 ありがとうございました ■ BaserCMSのバージョン:4.1.6 |