ＣＧＩの自動リンクのパスワードが見破られたら？

パスワードによる管理者チェックがどのような仕組みになっているかわかりませんが、 もし次のような流であるならば、パスワードを変更しても意味がない可能性があります。 可能性とは「外部からの投稿がありえる」ということです。 処理の流れ：パスワードチェック→管理画面（入力フォーム）→登録 上記の流ですと、パスワードチェックを経て入力フォームが表示されるわけですから、入力フォームの表示に関しては問題がありません。 ですが、登録の直前で何もチェックがないとすると、この部分で外部からデータが挿入されることが可能になります。 どのようにやればそれが出来るのか を書いてしまうと、問題になるでしょうから手法は詳しく書きません。 その代わり対策方法を書きます。 環境変数のREFERER（参照元）を引いて、自分のCGI以外からの登録を拒否しましょう。 簡単なPerlスクリプトの例を揚げると次のような感じです。 # まず最初に自分自身のURLを変数myscriptとして扱います $myscript = 'http://hogehoge.xyz/hogehoge.cgi'; # 自動リンクCGIのURL # 参照元チェックを関数化すると便利です。 sub refCheck { $ref = $ENV{'HTTP_REFERER'}; $ref =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("H2", $1)/eg; if ($ref =~ /$myscript/i) { return 1; } else { return 0; } } # 登録の直前に参照元チェック関数を呼び出し、異なればエラー処理 $ref_flag = &refCheck; if ($ref_flag == 0) { #ここにエラー処理 }