[PHP-users 32603] Re: セッションで制限しているページが見えてしまう

[アイレス 松本]

みなさん、ありがとうございます。


> で、どんな問題があるかと言うと、
> 「アクセスの正当性をsessionだけで保証しているページ」でかつ「入力データ
> のチェックをサーバ側できちんとしていない」場合、ちょっと困ったことになり
> そうです。
> データの入力ページで、HTML上（inputタグやjavascript）でさまざまな制限を
> かけたとしても、そのページをローカルに落として、そこら辺の制限を削除して、
> ローカルからデータを送信すると、「sessionは元のページのcookie」、「デー
> タはローカルで改竄されたもの」で通ってしまいかねません。

そうなんです。hiddenで値を埋め込んでいても、簡単に改竄されたものを
渡されるということですよね。
議論して頂いた行為自体は判定できないので、受取り側でデータチェックを行う、
ですね。