[PHP-users 32596] Re: セッションで制限しているページが見えてしまう

goungoun gounx2 @ gmail.com
2007年 9月 5日 (水) 11:20:09 JST


こんにちは。

# 丸3あたりの説明を読み取れないので
# なんとも書きにくいですが。

> このような事ができること事態に問題は無いのでしょうか?

phpを道具として「どういうことをやりたいのか?」が提示されていないので
単に「ある事象」をもって、それが問題あるか?ないか?問われても
第三者が答えを出すのは難しいと思います。

単にセッションという仕組みから言えば、
A.phpでフラグ(abc)を立てているのだから、
その後セッションを破棄する事象が発生しない限り
(ブラウザを閉じるとか、php側でセッションを破棄するとか)
B.phpは通常処理が実行されてあたりまえ。
としかいえないと思います。

A.php表示→他のページ表示→B.phpの正常処理実行
は好ましくない。
A.php表示→B.phpの正常処理実行
と必ず連続することを保障したい。
ということ?

A.php表示→他のページ表示→B.phpの正常処理実行
の後、
直接、B.phpを表示しても正常処理が実行されるのは
好ましくない。
ということ?

後者のことを言っているのであれば、
技術的に言うところのCSRFの話になると思います。


-- 
goungoun <gounx2 @ gmail.com>
http://goungoun.dip.jp/app/



PHP-users メーリングリストの案内