[PHP-dev 659] Re: hiddenフィールドの検証コードの実装

[Osamu Shigematsu]

重松です。こんにちは。

> httpの性質上、hiddenフィルードの改ざんを阻止することは不可能です。
> そこで次善の策として改ざんが行われたことを検知する為の検証コードを
> 生成する手段を提供することが考えられます。

個人的には、

	$serialized_value = serialize_secure($value, $password);

	
のようなものがあればいいなと思います。

で、戻す時にイレギュラーなデータならば、error を投げてくれると処理が楽ですね。
あるいは、null をかえすとか。


	<input type="hidden" name="hidden_field" value="<?=$seialized_value?>">

	$value = @unserialized_secure($_POST['hidden_field'], $password);
	if($value === null){ // こういうことってできましたっけ?
		// エラー処理
	}

自動的に圧縮, base64 エンコードなども処理してくれると楽でいいですね。

-- 
Osamu Shigematsu