[PHP-users 32603] Re: セッションで制限しているページが見えてしまう

アイレス 松本 matsumoto @ ailes.co.jp
2007年 9月 5日 (水) 13:25:41 JST


みなさん、ありがとうございます。


> で、どんな問題があるかと言うと、
> 「アクセスの正当性をsessionだけで保証しているページ」でかつ「入力データ
> のチェックをサーバ側できちんとしていない」場合、ちょっと困ったことになり
> そうです。
> データの入力ページで、HTML上(inputタグやjavascript)でさまざまな制限を
> かけたとしても、そのページをローカルに落として、そこら辺の制限を削除して、
> ローカルからデータを送信すると、「sessionは元のページのcookie」、「デー
> タはローカルで改竄されたもの」で通ってしまいかねません。

そうなんです。hiddenで値を埋め込んでいても、簡単に改竄されたものを
渡されるということですよね。
議論して頂いた行為自体は判定できないので、受取り側でデータチェックを行う、
ですね。 



PHP-users メーリングリストの案内