どう書けばよいのか

次にこのサイトの改良を試みよう。
すぐに思いつくのは、会員番号をhiddenで引き回さないで、セッション変数から読むようにすることである。そうすれば、ユーザが勝手に変更(改ざん)することはできなくなる。
しかし、私としては以下のように考えたい。
会員情報詳細表示画面にhiddenで会員番号を渡しているのは、このプログラムに対する入力である。すなわち、指定された会員番号に対する会員情報を表示するプログラムと考えるのだ。指定された会員の情報を表示してよいかどうかは、会員の権限に依存する。管理者権限があれば任意会員の情報を表示してよいが、一般会員は自分自身の情報のみ表示できる、こういう仕様は一般的だ。だとすると、現在ユーザの権限を確認した上で、表示する・しないを決定する。そうすれば、この画面は非常に汎用的に利用することが出来る。この場合、ハンバーガーショップの店員は以下のような応対をすることになる。

• 客: こんにちは。
• 店員: いらっしゃいませ。○○バーガーへようこそ。お客様番号と合言葉をどうぞ。
• 客: お客様番号:4508、合言葉:メタ文字タン　です。
• 店員: 徳丸浩様ですね。メニューの中からお選びください
  1.ハンバーガーの購入
  2.お客様情報(4508)のお知らせ
  3.お客様情報(4508)の変更
  4.退会(4508)
• 客: 1.お客様情報(4507)のおしらせ、をお願いします。
• 店員: お客様、恐れ入りますが、その会員情報はお教えできません。

すなわち、hiddenで会員番号を渡していることが悪いのではなく、無条件に指定会員の詳細情報を表示していることが問題ということになる。つまり、認可システムの不備ということだ。
現実のサイトの多くは、認可システムをきちんと実装していない。画面に従ってプログラムを使う場合は問題ないが、hiddenフィールドの書き換えなどにより、別人の情報を閲覧したり、変更できるケースは多い。
しかし、先に述べたとおり、hiddenで会員番号を渡しているのが悪いのではない。認可システムがいい加減(あるいは全くない)ことが問題なのである。「重要な情報はhiddenフィールドに入れてはならない」というガイドライン*2は誤り、ないし不正確である。

次回は、このパターンの続きを説明しよう。