• はてなアカウントでログイン
• 無料ユーザー登録

みんなの回答

• blogen2007/03/02 11:49:22

  満足20pt

  hidden で何か値を渡しているのかもしれません。

  <input type="hidden" name="hidden_value" value="true"/>

  この場合なら

  http://xxxx/login.php?id=xxxx&password=xxxxxx&hidden_val...

  となります。

  または referer を見ているのかもしれません。

  それから、ふと思ったのですが、

  > 同じPOSTでも同様にURLで引数を指定してログインできない

  とありますが、

  http://xxxx/login.php?id=xxxx&password=xxxxxx

  はGETで値を渡していることになります。

  login.php がPOSTでの値の受け取りのみを許可して、GETは弾く場合は上記のURLではログインできないことになります。

  こちらの勘違いだったらすいません。

  スター

たーちゃん2007/03/02 02:06:52

満足20pt

PHP スーパーグローバル

http://www.php.net/manual/ja/language.variables.predefined.php#l...

PHPでは、HTTP GETの情報が格納された$_GETと、HTTP POSTの情報が格納された$_POSTが定義済みの変数として利用可能です。

どちらでもアクセスできるページの場合は、その両方の情報が格納された$_REQUESTを利用していると考えられます。

スター

ardarim2007/03/02 03:19:41

満足20pt

hiddenになっているパラメータも含めて必要なものをすべてURLに含めていますか？




パラメータの中にurlencodeが必要な文字が含まれていませんか？




フォームのボタンが実はスクリプトになっていて特殊なPOST送信を行っていたりしませんか？




またリファラによって弾いている可能性があるので、その場合はURL直打ちでは弾かれてしまうと思います。

スター

uunfo2007/03/02 04:12:27

満足20pt

PHPではGETの変数（今回の例ではidやpassword）は$_GETで、POSTの変数は$_POSTで参照できます。

一方で$_REQUESTというものもあって、これは$_GET、$_POST、$_COOKIE（クッキーで渡される変数です）の中身がごちゃ混ぜになったものです。$_POSTや$_GETを使わないで$_REQUESTを使っているサイトだと、質問にあるようなお気に入りでのログインが可能になります。




また、プログラム内部の処理で$_GETで取得した値を$_POSTに入れたり、その逆をやったり、または$_GETと$_POSTをごちゃまぜに扱ったりと、$_REQUESTを使用するのと同じことをやっているPHPスクリプトもあるようです。




さらに、古いPHPスクリプトですとregister_globals=onで動作するように作られているのかもしれません。これは$_REQUESTよりもさらに強力なもので$_GETや$_POSTで送られた変数で、グローバル変数を初期化してしまいます。質問のお気に入りの例ですと、$idにはxxxx、$passwordにはxxxxxxが自動的に入ってしまうということです。




GETとPOSTで送られる変数を区別なく扱うのは脆弱性のもととなりますので、質問にあるようなお気に入りでのログインができるサイトはこれから減っていくのではないか、新しくできるサイトではできないことが多いのではないかと思います。

スター

shopnet2007/03/02 09:51:33

満足20pt

http://xxxx/login.php?id=xxxx&password=xxxxxx

だとPOSTでは無くて、GETで送っています。

上記ページを表示しているところでPOSTとなっていても、login.phpの方でPOST,GETどちらも受けるようになっていれば、GETで送っても認識してくれます。

要は、login.phpのプログラムしだいです。

$ID = $_POST['id'];

としてあれば、POSTでしか受け付けません。

register_globalsをonとした環境ではGET,POSTとも受け付けるかと思います。

スター

• kamesann 2007/03/02 20:06:57

  主にcookieを使うサイトで$_REQUESTで取得した場合に

  GETでもPOSTでも取得でき、formでPOSTとなっていても

  GETでアクセス可能だったのですね。

  調べても分からなくこの場で質問させていただきました。

  答えがわかって質問して本当によかったと思いました

  皆さん

  ありがとうございました。

• その他の回答を読む

この質問へのコメント

質問の情報

登録日時

2007-03-02 00:59:11

終了日時

2007-03-09 01:00:13

回答条件

1人5回まで

この質問のカテゴリ

• インターネット
• ウェブ制作

この質問に含まれるキーワード

人気の質問

• この英文どうなってますか？ The boy seemed to be waiting for his mother to come.（その少年は母親が来…匿名質問者112日前
• 不定詞の形容詞的用法らしいんですけど、副詞的用法と書いたら✖️ですか？ I want to buy a book to read …匿名質問者112日前
• 日向陽葵という○V女優が好きなのですが似ている○V女優はいますか匿名質問者20時間前
• 共通テストで使われるプログラミング言語は共通テスト特有の言語と聞いたのですが、受験勉強で身につけたプ…匿名質問者120時間前
• 内定してほしいポケモンはいますか？匿名質問者20時間前

メニュー

• 質問一覧
• カテゴリ一覧
• 無料ユーザー登録
• 人力検索はてなトップ

PC版

• お問い合わせ
• ヘルプ
• お知らせ
• はてなトップ