php で session_regenerate_id(true) でセッションが切れる問題 ← Neo Inspiration

わざわざセキュリティリスクを上げるプログラムを書くとかどうかしてると思うけど。。 セッションハイジャックのために session_regenerate_id(true)を書くと リンクをダブルクリックしたときに高確率でセッションが切れるようになります。 たぶんセッションを保存するI/Oのあたりなんじゃないかなぁと思いますが、 さしあたってこれでは色々と支障をきたすので、 こちら側で session_regenerate_idのタイミングをコントロールしなければなりません。 でこんなかんじ。 //ログインするときexpireにtimeをいれてく $_SESSION['expires'] = time(); //セッションのページを開くたびにこんなかんじ。 if ($_SESSION['expires'] < time() - 7) { session_regenerate_id(true);

[tohokuaiki]

これ、確かに難しい問題なのだけど、やいやいや、これでは、セッションハイジャックの対策になってませんがな・・・・。regenerateする意味ないじゃん。