会員サイトをphpで作り構成し会員がログインした後$

ログインをした後にページを切り替える度に
$_SESSIONにお客様の名前を入れてそれを所持していれば会員ページを開けるようになっております。

例

php
1if($_SESSION["name"]){
2    session_regenerate_id(true);
3//それ以降の処理
4}else{
5    header("Location: url");
6    exit();
7}

ここでふと疑問を思いました。
この際にあくまで$_SESSION["name"]があるかのチェックをしています。
これだけでいいのでしょうか？

それとも$_SESSION["name"]がデータベースにしっかり一致しているものがあるかどうかのチェックあるいは$_SESSION["name"]と$_SESSION["account_id"]みたいなデータベースに保存しているもので一致しているものがあるか毎回確認するべきなのでしょうか？

あくまで予想なのですがもし$_SESSION["name"]があるかどうかのチェックのみでしたら何かしらかの手段で$_SESSION["name"]にデータを持たせることができたら問題が生じるのではないか？と思っております。

宜しくお願いいたします。

行動規範の内容に同意します

回答1件

質問への回答

何を持って「ログインしている」とするかで、認証済みかを判断するべきでしょう
sessionに"name"が登録されている事が「ログインしている」とするのであれば、"name"の存在チェックでも問題ありません
※ sessionへのnameのセット処理が不正に呼び出されないことを前提としています

あくまで予想なのですがもし$_SESSION["name"]があるかどうかのチェックのみでしたら何かしらかの手段で$_SESSION["name"]にデータを持たせることができたら問題が生じるのではないか？と思っております。

クライアント側からsessionに自由に値をもたせることは、通常考えられないので、上記の可能性は低いと考えられます

現状の処理で考えられる問題点

・会員がログイン中に削除や停止となる可能性
ある会員を削除する場合、その会員がログイン中であっても、その後の操作は行わないようにしたいのではないでしょうか
その場合、セッションの中身だけでの判断だとログインが保持され続けることになります
毎回データベース等の最新の情報にアクセスするほうが良いでしょう

・開発者のプログラミング理論的なもの
一般的には"name"の存在が「ログインしている」とは直接結び付けられません。
sessionには「ログインしている」というステータスを持たせる等して、それをチェックするほうが、多の開発者から見て分かりやすいものになります。
また、認証の処理を全ページにifで記載するのではなく、Authenticationクラスを作るなどして、認証処理の責任は一箇所にまとめる方が本来的でしょう