[PHP]session_regenerate_id()と古いセッションファイルの削除方法|シラサヤ備忘館
PHPのお話。 セッションハイジャック(Session Fixation攻撃)を防ぐための手段の一つとして「セッションIDを書き換える」という方法がある。 セッションIDを変えることがなぜ対策になるかは書きたい内容と離れるのでここでははしょる。 さて、セッションIDとはセッションファイルで管理されている。 セッションIDは一つのセッションファイルと対になっており、 もし利用中のセッションIDに対応するセッションファイルを物理削除するとそのセッションは切れてしまうこととなる。 このことから、 セッションID≒セッションファイル と言ってよい。 ちなみにここでいうセッションファイルとは、 php.iniのsession.save_pathディレクティブに設定されているパス内に格納される(sess_から始まる)ファイルのことを指す。 前置きは終了。 -- さて、セッションハイジャック対策としてセ
session_regenerate_id()でセッションが切れる|シラサヤ備忘館
以前、Session Fixation攻撃対策としてセッションIDを書き換える方法を書いた。 ■過去記事:[PHP]session_regenerate_id()と古いセッションファイルの削除方法 http://xirasaya.com/?m=detail&hid=216 この時書いた方法は2つで、一つはPHPのVerが5.1.0以降の時のsession_regenerate_id(true)という方法。 もう一つは自前で組む方法。 しかし今回、そのどちらを利用していてもセッションが切れる現象が起こることがわかった。 その現象が出たのが、リンクを踏んでページを読み込み中にすぐ別のリンクを踏んだとき。 これをすると結構な確立確率でセッションデータが消失する。 たぶんF5連打でも似たようなことになると思う。 おそらく連続してページにアクセスすることによって、 セッションの値を新しいセッションI
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サービス終了のお知らせ
