hiddenって簡単に書き換えられてしまうけれども…

Webエンジニアの雄大です。

hiddenパラメータは簡単に書き換えることができてしまう。
例えば、こんな感じで。
test1.php

hiddenにはhidden_sampleという単語が入っています。

test2.php

hiddenを受け取って出力しているだけなので、hidden_sampleという単語が出てきます。

しかしツールを使って、こんな感じで書き換えてしまいます。

出力結果は

じゃあ、どういうときにhiddenは使うのか。

まずクッキーやセッション変数と比較を考えると
これらの欠点はセッションの固定化攻撃に弱い。

利用者自身によって買い換えられては困る認証や認可に関する情報はセッション変数に保存すべき。

それ以外はhiddenパラメータを用いると良いとされている。

参考書籍

コメント