get
- urlの末尾にパラメーターが付く=書き換えが容易
- ユーザーのユニーク(一意性)を識別できない
post
- urlにパタメーターが付かない
- 画面最読み込み時にアラートが出る
- <input type=”hidden”>で埋め込み可能、ただし改竄が用意
- (通信の盗み見)
cookie
- ユーザーのPC/端末にデータを保存
- cookieの有効期限がある
- ユーザーが無効にできる(無効だと保存できない)
- 改竄が可能
- (通信の盗み見)
session
- サーバにデータを保存
- ユーザーのPC/端末にcookieでセッションIDを保持
- セッションの有効期限とcookieの有効期限がある
- ユーザーがcookieを無効にしていると利用できない(アクセスの度に異なるセッションIDを新規に発行する)
- ユーザーがcookieを無効にしていてもgetでセッションIDを引き回すや、<input type=”hidden”>で埋め込む方法もある(セッションハイジャックの危険性)
- (通信の盗み見)
やっぱクッキーは無効ユーザーを切り捨てるのが簡単そう。
