• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

PHP TIPS

58. すごいリロード対策

2007/10/18 ITpro

まず、日本のサイトにある一般的な登録フォームの画面遷移は

入力画面→入力確認画面→完了画面

となっている場合が多いようです。ここでリロード問題となるのは完了画面でのDBへのINSERT処理やCSV書き出し処理、メール送信処理など「一度しか行わない処理」です。例えば完了画面へ遷移した際にブラウザのリロードボタンが押された場合、確認画面よりsubmitした情報が再度submitされて上記の一度しか行わない処理が二度行われてしまいます。そうならないよう、リロード対策はスクリプトで制御します。

まずは確認画面のスクリプト

確認画面でチケットを発行し、セッションに保存しておきます。同時に完了画面へチケットがPOSTされるよう、hiddenにセット。こうして完了画面へ遷移させます。それでは完了画面のスクリプトを見てみましょう。

このように、確認画面で発行されたチケットは一度使い切ってしまえば2度処理される事なくリロード対策となるわけです。

さて、ここからが本題です。スクリプトを見ていてセキュリティの知識が豊富な方はお気づきかと思いますが、完了画面には重要な処理が多くCSRF(クロスサイト・リクエスト・フォージェリー)の問題を抱えているのです。上記例のようなワンタイムチケット方式は同時にCSRFの対策が施されますので、リロード対策とCSRF対策併せて一石二鳥!

いかがでしょうか。今までの完了画面を見直す必要性はございませんか?



(アシアル 海原才人)


この記事は、アシアルが運営するPHP開発者のためのポータル&コミュニティサイト「PHPプロ!」で毎週配信しているPHP・TIPSメーリングリストを再録したものです。
同サイトでは、他にもPHP最新ニュースや、困ったときのQ&A掲示板、初心者向けのPHP講座など、PHP開発者をサポートする情報を掲載しています。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る