回答編集履歴
3
修正
test
CHANGED
@@ -10,11 +10,21 @@
|
|
10
10
|
|
11
11
|
それって本当にそう言い切れますか?
|
12
12
|
|
13
|
+
ネットに転がっている情報を鵜呑みにしてはいけないのは分かりますよね。
|
14
|
+
|
15
|
+
それと同じです。結局のところ自身で検証・調査する必要が出てくるわけです。
|
16
|
+
|
17
|
+
手元に環境と目の前にコードがあるのだからまず試そう(teratailの指針ですね)
|
18
|
+
|
19
|
+
|
20
|
+
|
13
21
|
あなたがいずれ仕事で後輩や部下を持つようになったとして、どう説明しますか?
|
14
22
|
|
15
23
|
「理解する」ということは「人に説明できる」ということです。(確実な経験と根拠資料に基づいて)
|
16
24
|
|
17
25
|
そのあたり、自身のこれまでを振り返ってみてください。
|
26
|
+
|
27
|
+
すると今回の質問が「問題・課題がない」という非推奨の質問に限りなく近いことが分かるはずです。
|
18
28
|
|
19
29
|
|
20
30
|
|
2
修正
test
CHANGED
@@ -1,3 +1,27 @@
|
|
1
|
+
正直、
|
2
|
+
|
3
|
+
**実際に色んなところに入れて挙動(セッションファイル含めた)を確かめてから質問してね**
|
4
|
+
|
5
|
+
って見た人は思うと思います。
|
6
|
+
|
7
|
+
何かしらアドバイスがついたとして「それが適切か」という判断はできるんでしょうか。
|
8
|
+
|
9
|
+
おそらく前にも言われたと思います。「回答者するくらいの人が言ってるから正しいんだ」
|
10
|
+
|
11
|
+
それって本当にそう言い切れますか?
|
12
|
+
|
13
|
+
あなたがいずれ仕事で後輩や部下を持つようになったとして、どう説明しますか?
|
14
|
+
|
15
|
+
「理解する」ということは「人に説明できる」ということです。(確実な経験と根拠資料に基づいて)
|
16
|
+
|
17
|
+
そのあたり、自身のこれまでを振り返ってみてください。
|
18
|
+
|
19
|
+
|
20
|
+
|
21
|
+
-------------
|
22
|
+
|
23
|
+
|
24
|
+
|
1
25
|
そもそもセッションハイジャックにどんなセキュリティ脅威があるのかどんな攻撃手法があるのかを
|
2
26
|
|
3
27
|
理解する必要があります。
|
1
修正
test
CHANGED
@@ -14,7 +14,9 @@
|
|
14
14
|
|
15
15
|
上記記事でいえば「セッションハイジャックされないための対策」の「ワンタイムセッションIDの発行」のみの対応。
|
16
16
|
|
17
|
-
「これだけやっとけば完璧!」と
|
17
|
+
「これだけやっとけば完璧!」とは言えません。
|
18
|
+
|
19
|
+
「セッションハイジャック」ですからね。
|
18
20
|
|
19
21
|
|
20
22
|
|
@@ -26,9 +28,19 @@
|
|
26
28
|
|
27
29
|
|
28
30
|
|
31
|
+
「特定が難しい」だけです。
|
32
|
+
|
33
|
+
|
34
|
+
|
29
35
|
さて[session_regenerate_id()](https://www.php.net/manual/ja/function.session-regenerate-id.php)についてはマニュアルを読まれたら分かるかと思います。注意書きがありますね。
|
30
36
|
|
31
37
|
特に「警告」のところはきちんと読んでおいてください。
|
38
|
+
|
39
|
+
また、「実行したときにセッションファイルがどうなっているか」もきちんと追っておくこと。これを知っておく必要はあります。
|
40
|
+
|
41
|
+
|
42
|
+
|
43
|
+
引数をデフォルトのfalseのままにしておくとどうなるか想像してみてください。
|
32
44
|
|
33
45
|
|
34
46
|
|