[PHP-users 32603] Re: セッションで制限しているページが見えてしまう
アイレス 松本
matsumoto @ ailes.co.jp
2007年 9月 5日 (水) 13:25:41 JST
みなさん、ありがとうございます。
> で、どんな問題があるかと言うと、
> 「アクセスの正当性をsessionだけで保証しているページ」でかつ「入力データ
> のチェックをサーバ側できちんとしていない」場合、ちょっと困ったことになり
> そうです。
> データの入力ページで、HTML上(inputタグやjavascript)でさまざまな制限を
> かけたとしても、そのページをローカルに落として、そこら辺の制限を削除して、
> ローカルからデータを送信すると、「sessionは元のページのcookie」、「デー
> タはローカルで改竄されたもの」で通ってしまいかねません。
そうなんです。hiddenで値を埋め込んでいても、簡単に改竄されたものを
渡されるということですよね。
議論して頂いた行為自体は判定できないので、受取り側でデータチェックを行う、
ですね。
PHP-users メーリングリストの案内