[PHP-users 32601] Re: セッションで制限しているページが見えてしまう

[Shunsuke Yanaka]

実際に試してみました。
私も同様の結果になりました。

session idはcookieで管理している・・・のですよね？

A.phpをブラウザで見ている
=>cookieでsession idを管理
=>B.phpを開いた時に、このcookieからsession idを取得

というだけのことではないでしょうか？

ですので、間にローカルのA.htmlを挟んだとしても、ブラウザでA.phpを見てい
れば、そのsessionが引き渡される、ということだと思います。

当然、A.phpを閉じて、A.htmlだけでB.phpを見ても、sessionデータは存在しま
せん。


で、どんな問題があるかと言うと、
「アクセスの正当性をsessionだけで保証しているページ」でかつ「入力データ
のチェックをサーバ側できちんとしていない」場合、ちょっと困ったことになり
そうです。
データの入力ページで、HTML上（inputタグやjavascript）でさまざまな制限を
かけたとしても、そのページをローカルに落として、そこら辺の制限を削除して、
ローカルからデータを送信すると、「sessionは元のページのcookie」、「デー
タはローカルで改竄されたもの」で通ってしまいかねません。