symfonyはうれしい。ユーザー認証をsymfonyが組み込み機能として持っている。 init-app したら myUser.phpが作られるのはこのためだろう。アクセス制限する方法には3通りほどあるって。マニュアルによると、アクセス制限を理解するためには、symfonyのMVCのC…

つーか、URLを変更することは、GETにセッションID埋めることと同じやん。眠たいなおれは。考えをまとめると、トークンをURLに含めるのもFORMでPOSTするのも同じ事なので、URLに含める方が攻撃者が攻撃しにくいよってことか。どうせならURLはセッション毎に作…

そもそも、データ操作URLが一意だから狙われるんじゃないのかなと思ったり。それってmod_rewriteで、解決できないかな？ たとえばmixiの日記にコメントを入れるURLはこれ。 http://mixi.jp/add_comment.pl?diary_id=23465754534もし、このURLが類推されにく…