session_regenerate_id関数の第1引数はtrueにすべきか

以前tumblrに書いたエントリ「データベースのデータを信用してはいけないか?」にて、PHP技術者認定試験の想定問題について取り上げましたが、その後、書籍「徹底攻略 PHP5 技術者認定 [上級] 試験問題集 [PJ0-200]対応」が刊行されたことを知り、購入しました。 同試験は、比較セキュリティの配点が高い(12%)ことから、試験問題集にはセキュリティの独立した章として第10章が割り当てられ、セキュリティの問題が21個集められています。 先のエントリで紹介した「ITトレメ PHP技術者認定・初級 過去問題一覧 － ＠IT自分戦略研究所」の問題を見た時の印象は、問題の癖が強く、独自の用語を使っている箇所が多いことが懸念点でしたので、そのような観点から同書第10章「セキュリティ」の問題を確認したところ、全体的に下記の印象を持ちました。 用語としてIPA等で使われている一般的なもの(例:静的

[deep_one]

同意。いやタイトルそのものに対する答えは「普通は常にtrueにするべきだと思う」だけど（笑）

[sutara_lumpur]

#php #セキュリティ うーん、毎度のことながらためになります(-人-)

[rryu]

結局、古いセッションを規定で消してくれないPHPに対するバッドノウハウなのだから、変に危険性を演出する必要はなかったのかもしれない。

[ockeghem]

微妙なところを突く日記