teracc https://blog.hatena.ne.jp/teracc/ teracc’s blog https://blog.ts5.me/ セキュリティ ECサイトにおける価格の改竄の対策として、「購入確定処理で、クライアントからPOSTされてくる商品IDをキーに商品マスタテーブルを検索して、検索した結果の価格で購入処理を行なう」というような趣旨の対策が書いてあるのを見たことがあります。これは悪意あるユーザによる価格改竄の対策として正しいわけですが、私は別の問題で少々引っかかるものを感じてしまいます。私が「引っかかるところ」について、以下で少し書いてみます。 運営者による価格変更 購入確定処理の直前には、購入確認画面がユーザに提示されているはずです。 ┏━━━━━━━━━━┓ ┃ ＜購入確認画面＞ ┃ ┃ ┃ ┃ みかん 1個 100円 ┃ ┃… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fblog.ts5.me%2Fentry%2F20070722%2F1185088920" title="価格の改竄などの話 - teracc’s blog" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2007-07-22 16:22:00 rich https://blog.ts5.me/entry/20070722/1185088920 1.0 100%