Q&A
セッションハイジャックが起こりうるので振り直さないと駄目ですね
一般的なの注文管理システムを作成しています。
ログイン画面のセッションについて質問です。
ログイン中各画面の値をセッションで持ちまわり使用しています
ログアウト時にすべてのセッションを破棄していますが、
ログイン中にログアウトボタンを押下せず、ブックマークからログイン画面に直接
飛んできてログインした場合、PHPSESSIONIDは振りなおすべきなのでしょうか?
現在はログイン画面表示時にシステム内で使用していたセッションのみ明示的にクリアしています。
なので、ログアウトボタン押下、ないしは画面を閉じた時以外はPHPSESSIONIDは同一です。
回答1件
0
直接の回答になるか分かりませんが、
通常はログインしなおすたび(自動ログアウト後も含む)にsession_regenerate_id()を実行して現在のセッションIDを 新しいものと置き換えます。
ログインについては色々な記事がありますが、
おおよその記事では行われていますし、セッションハイジャック対策としても推奨されています。
投稿2018/12/20 01:56
編集2018/12/20 02:13
総合スコア80850
ありがとうございます!
id振り直しをします!
参考になりました
セッションハイジャックの記事をリンクにしてますので必ず一読してから対応いれてくださいね。
なんでもかんでもとにかくやればいいということではないので。
btobで割と閉じられた小さなシステムなのでそこまで細かく作りこまれてないものだとは思うのですが
一応気になったので…。
>なんでもかんでもとにかくやればいいということではない
session_regenerate_id()を実行して現在のセッションIDを 新しいものと置き換えないほうがいいパターンもあるということでしょうか?
だとしたらどういったケースなのでしょうか?
いえ。「意味を理解して適切なタイミングで使いましょう」という意味です。
やみくもに入れてみるという状況はありえないので大丈夫です。
もちろんすべての意味を正しく理解していたら質問サイトなど必要がないので
今現時点で自分が「こうだろう」と思う状態でということになりますが。
既存システムのログイン時の作りに疑問があったので質問してみました。
であれば大丈夫です。自身だけの判断ではなくIPAなどが出している基準資料のようなものもあるので合わせて読んでください。
コメントが
「ありがとうございます!
id振り直しをします!」
だけだったので理解度のほどが不明(というかとりあえずやっとけ感があった)であったためこのようなコメントをしました。
失礼しました。
あなたの回答
tips
プレビュー
