csrf対策とsession_name()の変更について

PHPでCSRFを対策するために以下のようなコードを書いております。

php
1
2<?php if($_POST['posted']!="yes"):?>
3  <?php session_name('hoge');?>
4  <?php session_start();?>
5  <?php 
6  $bytes = openssl_random_pseudo_bytes(16);
7  $_SESSION['token']=bin2hex($bytes);
8  ?>
9
10  <form class="" action="" method="post">
11    <input type="hidden" name="posted" value="yes">
12    <input type="hidden" name="csrf" value="<?php echo $_SESSION['token'];?>">
13    
14  </form>
15
16<?php endif;?>
17
18
19<?php 
20  if($_POST['posted']=="yes"){
21　　 session_start();
22    $_POST['csrf']==$_SESSION['token']//false
23  }
24?>

CSRF対策とは関連がなく、念のためにセキュリティ上session_name()をPHPSSIDから変更するために

<?php session_name('hoge');?>を入れているのですが、このコードを入れてしまうことで

$_POST['csrf']==$_SESSION['token']がfalseとなってしまいます。具体的には新たなトークンが生成されてしまい、不一致となるため、csrf対策とsession_name()の変更が両立いたしません。
*session_name()を変更することはセッションハイジャックに対して、重要な効果は期待されないと認識しておりますが、念のために変更したいと言う意図でございます。

原因と対応策について、アドバイスをいただけますでしょうか？
よろしくお願い申し上げます。

退会済みユーザー

2019/01/10 23:33

前のセッション取得前にセッションの再作成すると、前のセッションは終了済み。複数のページで別々のセッション名から取得／設定してる場合読み込めません（それこそハイジャック）

pegy

2019/01/11 12:52

なるほど、理解いたしました。コメントいただき、ありがとうございます。

行動規範の内容に同意します

回答1件

ベストアンサー

現在は、$_POST['posted']!="yes" の場合のみsession_name()関数が呼び出しされていますが、session_name()はアプリケーション内で一貫しておく必要があります。

なので、session_name()関数の呼び出し位置をプログラムの先頭（if文の外）に移動すれば動くのではないですか?

投稿2019/01/10 23:46

ockeghem

総合スコア11701

pegy

2019/01/11 12:17

ockeghem様コメントありがとうございます。確かに動作をさせることができました。if文の外に置いた場合、POSTされた場合でもされない場合でも常に実行されるためのでランディングした時もPOSTされた時も実行されると言うことかと思います。確かに一貫して同じsession_name()である必要があることは理解できるのですが、session_name()が新たなセッション名をブラウザ側に渡すのであれば、同じsession_name("hoge")を重ねて渡す（ランディング時もPOST時も）ことに若干の違和感を感じるのですが、session_name()の仕様自体をもう少し調べてみます。ありがとうございました！