セッション変数の取り出し

前提

phpによるウェブサービスを作成しています。

index.php
update.php
login.php

というファイルがあり、
いずれもSSL認証されています。

困ったこと

テスト環境でSSL認証無しで作成していた際は、
login.phpで保存したセッション変数を、index.php, update.phpで取り出すことができていました。
ところが、SSL認証をするとindex.phpでは取り出せたのですが、
update.phpからは取り出すことができなくなってしまいました。

色々と調べてみましたが、同じような問題は見つけることができず、
原因も見当がつきません。

必要であれば、気になる部分のコードを記載しますので、
ご意見いただけないでしょうか。
漠然とした質問で申し訳ありませんが、よろしくお願いいたします。

行動規範の内容に同意します

回答2件

ベストアンサー

本当に質問通りの環境であれば，信じがたい内容ですね…
確認すべきと言えることは

各ファイルの先頭ですべてsession_startを行っているか
本当にすべてのアクセスでスキームが https:// に統一されているか

→ もし統一されていない場合，セッション用Cookieのsecure属性は有効になっていないか

これぐらいしか思いつきません…差し支えなければソースを提示してください．

投稿2016/06/18 18:12

mpyw

総合スコア5223

mpyw

2016/06/18 18:15

(再掲) おすすめの実装 http://qiita.com/mpyw/items/7f4772e4d4d360fc100c

callmichael

2016/06/18 20:08

まさにsession_startを行っていないせいでした。。 SSLにしてからそうなったのでしょうか。とにかくありがとうございます。また、ここで質問するのは間違っているかもしれませんが、教えていただいたセッション認証のコードを使って、 androidアプリからアクセスできるようにしたいと思っています。アプリからセッション認証をそのまま使うことができるのかあまり分かっておらず、可能か不可能かだけでもお分かりであれば教えていただきたいです。何度もすみません。よろしくお願いいたします。

mpyw

2016/06/19 16:37 編集

できますが，Androidアプリ側でCookieを常に保持するようにしてください． (Androidのほうは疎いので具体的な指示は出せませんが，永続的なデータストレージにPHPSESSIDを入れておく必要があるかと思います) なお，スマホアプリの場合はきわめて保持しておく期間が長い（もちろん再アクセスでの延長あり）ので，TLS暗号化があったとしても定期的にセッションIDの書き換えを行ったほうがいい気がします．非常に大雑把ですが個人的には super_session_start(86400 * 30, 86400 * 3, true, [ 'cookie_secure' => true, 'cookie_httponly' => true, ]); このぐらいが妥当かなぁと．

mpyw

2016/06/19 01:41

もちろんこうする場合Android側では，Cookieの変更を検知して，データストレージに上書きする必要がありますが．

callmichael

2016/06/25 18:22

すみません、御返事遅くなりました。どうやら、Androidで同じような仕組みを使えそうなので、いま悪戦苦闘しつつも実装を試みています。ありがとうございます。

行動規範の内容に同意します