XMLHttpRequest送信したパラメータを、サーバーサイドのセッションに保存する - Qiitaはじめに 新規で担当したシステムに脆弱性が検出されたため、その対応策をまとめました。 ◆不具合の内容 ユーザー機能を持つシステムにおいて、ユーザーIDのパラメータを変更してアクセスすると、ログイン中のユーザー以外の情報が表示される不具合が発生しました。 ◆使用言語 JavaScript PHP ◆改善策 ログイン時にユーザーIDのパラメータをセッションに保存し、他のページにアクセスした際にパラメータとの整合性をチェックすることで、意図しない情報が表示されないようにします。 ◆手順 1.ログインボタンの押下時に、JavaScriptでPHPにリクエストを送信 ログインページにユーザーIDを入力するテキストボックスが用意されている前提で進めます。 function login() { var userId = document.getElementById('userId'); var dat
