phpで$_SESSION配列に文字列を格納後、次の次の遷移で$_SESSIONが消える

お世話になります。

前提・実現したいこと

$_SESSION情報の維持

プログラム全体の目的は、ユーザーが既に登録したメールアドレスを変更するとき、
新しいメールアドレスに、ランダムな文字列を送り、これをフォームに入力させて
新しいメールアドレスが、確かに本人の物であると確認する、というものです。

発生している問題・エラーメッセージ

ログイン直後、1ページ目にログインした旨を示す文字列を
$_SESSION['login']に格納しました。このページからの
遷移ではこの文字列が$_SESSION['login']に残っていますが、
その次の遷移後に$_SESSIONが空になっています。

該当のソースコード

1ページ目

php
1<?php
2session_start();
3session_regenerate_id(true);
4//ログイン手続きは長いので省略
5$_SESSION['login']="login";
6?>
7 <p>変更後のメールアドレス：</p>
8    <form action="２ページ目のURL" method="post">
9    <input type="email" name="Newmail" size="60" maxlength="255">
10<input type="submit" value="メールアドレスを変更">
11</form>
12
13

2ページ目

php
1<?php
2session_start();
3require "random.php";//乱数を作る手製ライブラリ
4$sessionname=generate_password(32);
5session_name($sessionname);
6session_regenerate_id(true);
7var_dump($_SESSION);//この時点ではセッション情報が残っている
8
9
10$pass=generate_password(10);//10文字の乱数を作る
11
12//ここで$passをデータベースにpassword_hashを通して保存
13
14mb_send_mail($_POST['Newmail'],"メール変更キー送付　ご利用をありがとうございます。",$pass);//キーをメールで送付
15
16?>
17<p>キーを入力</p>
18<form action="３ページ目のURL" method="post">
19<input type="password" name="NewmailKey" size="60" maxlength="255">
20<input type="submit" value="メールアドレスを変更">
21</form>
22

3ページ目

php
1session_start();
2session_regenerate_id(true);
3var_dump($_SESSION);//ここで消えたことが確認された

どうすれば、セッション情報が安全に継続されますか。

colling

2018/11/07 18:49

session_idの書き換えが間に合わないほどの速さのページの遷移はどのようにして行っているのでしょうか？

valval

2018/11/07 23:05

フォームのテキストボックスに文字列をコピペ等で書き込み、送信ボタンを押しています。

colling

2018/11/07 23:53

それだと、HTMLが描画されているので、ブラウザがクッキーにセッションIDを書き込むまでに遷移してるとは考えにくいですねぇ。記載されている以外のコードに何かありそうな気がします。

colling

2018/11/07 23:56

もしかして送信ボタンを押してからsession_regenerate_id()して次ページに移動するような処理にしています？

valval

2018/11/08 00:45

２ページ目から３ページ目への遷移は、送信ボタンのみで、３ページ目でsession_regenerate_id()を行っています。

valval

2018/11/08 00:52

関係ないと思っていたのですが、コードを見直した所、２ページ目でsession_regenerate_idの前に、セッション名の変更を行っておりました。

colling

2018/11/08 01:03

セッション名を変更しなければ大丈夫かと思います。（たぶん）

行動規範の内容に同意します

回答2件

ベストアンサー

2ページ目には、sesstion_name()があるみたいなので、そこが問題かと思います。

session_name()はsession_start()よりも前にあるべきです。

PHPマニュアル抜粋

リクエストが開始された際にセッション名はリセットされ、 session.name に保存されたデフォルト値に戻ります。よって、各リクエスト毎に(そして session_start() または session_register() をコールする前に) session_name() をコールする必要があります。

--追記--
そして、独自のセッション名を使うには、毎ページ同じ値でsession_name('hogehoge')が必要です。

投稿2018/11/08 01:08

編集2018/11/08 01:19

colling

総合スコア798

valval

2018/11/08 01:16

仰る通りでした。ありがとうございます。

colling

2018/11/08 02:10

スクリプトでランダム生成された　session_name() は、ランダム値をどうやって保持するかという問題がありますので、仕様上ちょっと難しそうですね。日付のハッシュ化（24時間は同じ）や、日付+時のハッシュ化（１時間は同じ）なら使えそうです。

valval

2018/11/08 12:15

ありがとうございます。デフォルトのPHPSESSIDでは危ないから変更するべきという話を聞いたので、よくわからないまま乱数で変更しておりました。勉強になりました。

行動規範の内容に同意します

調べた感じだと'session_regenerate_id()'の実行タイミングの問題のようです
https://teratail.com/questions/36990

投稿2018/11/07 15:22

teikoku-penguin

総合スコア314

valval

2018/11/07 15:36

ありがとうございます。確かに、 https://senews.jp/session-kireru/ という記事でも、その関数が悪さをしているという指摘がありましたが、だとしたら、どうしたらよいか、どのタイミングでその関数を走らせるかで、困っています。安全面に配慮するのは当然だとしても、それで挙動が怪しくなるので、手詰まり感があります。

teikoku-penguin

2018/11/07 15:46

'session_regenerate_id(true)'はセッションIDの書き換えを行います 2ページ目でセッションIDを書き換えた後にすぐ3ページ目に遷移すると3ページ目へのセッションID書き換えの伝達が間に合わず、結果3ページ目でのセッション配列参照時に値が入っていない状態になっていると思われます。考えられる対策としては'3ページ目への遷移を少し遅らせる' or 'あまり頻繁にセッションIDを書き換えない'ではないでしょうか？ページ毎にセッションIDを書き換える必要があるかどうか次第で決めると良いと思います。

valval

2018/11/07 23:29

ありがとうございます。検討します。

行動規範の内容に同意します

あなたの回答