このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

Webセキュリティーについて

発言者:Okamoto
( Date Wednesday, July 24, 2002 17:36:40 )


最近、拝読させてもらっています。有難うございます。
現在、PowerMacG4(MacOS9.2)でFilemakerPro5.5Unlimitedを使用し、
ショッピングサイトの構築を目指しています。
今、解決できない問題を抱えております。
顧客のDBFileを作成しました。Webセキュリティーで、以下のセキュリティをかけました。

ユーザ名: All Users (パスワードなし) 閲覧 追加 編集
フィールド名: passwd 内容一致検索 内容一致編集 内容一致削除

これは、顧客に氏名や住所等を登録してもらうDBFileです。-newで登録してもらい、確認画面(kakunin.hmtl)で間違っていれば、-editで編集してもらいます。編集の作業は-tokenでまわしたpasswdフィールドの値を使用して、編集します。

<input type="hidden" name="-op" value="eq">
<input type="hidden" name="passwd" value="[fmp-currenttoken: 0, html]>
<input type="submit" name="-edit" value=" 編集する ">

問題は、HTMLファイルより取得した情報をもとに、以下のように作業されると、顧客データの複製、閲覧ができてしまうことです。

http://www.hogehoge.com/FMPro?-db=customer.fp5&-lay=lay&-format=kakunin.hmtl&-recid=(任意のもの)&-dup

問題は、Webセキュリティーで「ユーザ名: 追加」のところで、
-newと-dupを区別できないところです。All Users で「追加」の権限を
与えないと、顧客のDBにデータを登録できないので、「追加」は外せません。-dupだけを制限するような機能は、(努力して探しましたが)
Webセキュリティーには見当たりませんでした。また仮に-scriptを走らせるような設定をHTML,DBにしておくと、

http://www.hogehoge.com/FMPro?-db=customer.fp5&-lay=lay&-format=kakunin.hmtl&-recid=(任意のもの)&-script=hogehoge&-dup

で、hogehogeという名前のスクリプトが走ってしまいます。
「追加」を外さずに、-dupの機能を制限するようなことは可能でしょうか?
皆様どうぞよろしくお願いいたします。