Webエンジニアの雄大です。
hiddenパラメータは簡単に書き換えることができてしまう。
例えば、こんな感じで。
test1.php
<form action ="test2.php" method="POST"> <input type="hidden" name="hidden_sample" value="hidden_sample"> <input type ="submit" value="送信"> </form>
hiddenにはhidden_sampleという単語が入っています。
test2.php
<?php echo $_POST["hidden_sample"]; ?>
hiddenを受け取って出力しているだけなので、hidden_sampleという単語が出てきます。
しかしツールを使って、こんな感じで書き換えてしまいます。
出力結果は
じゃあ、どういうときにhiddenは使うのか。
まずクッキーやセッション変数と比較を考えると
これらの欠点はセッションの固定化攻撃に弱い。
利用者自身によって買い換えられては困る認証や認可に関する情報はセッション変数に保存すべき。
それ以外はhiddenパラメータを用いると良いとされている。
参考書籍
【送料無料選択可!】体系的に学ぶ安全なWebアプリケーションの作… |
コメント