PHPのお話。 セッションハイジャック(Session Fixation攻撃)を防ぐための手段の一つとして「セッションIDを書き換える」という方法がある。 セッションIDを変えることがなぜ対策になるかは書きたい内容と離れるのでここでははしょる。 さて、セッションIDとはセッションファイルで管理されている。 セッションIDは一つのセッションファイルと対になっており、 もし利用中のセッションIDに対応するセッションファイルを物理削除するとそのセッションは切れてしまうこととなる。 このことから、 セッションID≒セッションファイル と言ってよい。 ちなみにここでいうセッションファイルとは、 php.iniのsession.save_pathディレクティブに設定されているパス内に格納される(sess_から始まる)ファイルのことを指す。 前置きは終了。 -- さて、セッションハイジャック対策としてセ