こんばんわ、マユラです。

前にブログに書いていたDBの件ですが、
セキリュティとしておかしいところがわかりました。
結構気づけよって、いうレベルの間違いがありました。

まず、hidden,disabledを使っていたことです。
これはかなり深刻なミスです。
取り敢えず作るのに必死でよく考えていませんでしたｗ
しかもidをhiddenで隠していた箇所があって・・・。さすがにやべえｗ

次に、htmlspecialcharsのプログラムの打ち抜けです。
データの入力時にはちゃんと付けていたんですが、
データを引き出すときには付いていなかった！
このせいで、データ参照時に<h2></h2>に反応してしまったわけです。
もちろんhtmlspecialcharsを使えば、タグに反応せずにそのまま表示されます。

あと、SQLiteは個人情報には使えない。当たり前かｗ

最後に、プリアドステートメントを使ってないことです。
これは全然知らなかったです。ひどいもんですねｗｗ
私はPDOを使っているんですが、
これならば、bindValue,bindParamを使えばいいです。

他にも細かい間違った箇所多々あるんですが、
とりあえず基本的なところからで。