セッションハイジャックを防ぐ7つの方法 – sawara.me
会社のブログに寄稿させていただきました。 PHPのセッション情報をデータベース(MySQL)に保存するぜ! こちらの記事ではセッション情報をDBサーバーに保存させて、ロードバランサーで接続するサーバーが切り替わってもセッションが維持される方法について記載しましたが、セッションハイジャックについては言及しておりません。ということで今回はセッションハイジャックを防ぐ方法について紹介します。 セッションハイジャックとはなにか そもそもセッションハイジャックとはなにか。cookieでセッション管理を行うPHPの場合はcookieにセッションIDを保存します。このセッションIDを他のユーザーのものに書き換えてなりすましてしまうのがセッションハイジャックです。cookie情報なんてのはブラウザで簡単に書き換えられてしまいますからね。 セッションハイジャックにおける対策としては大まかに分けて2つの対策、
セッション | PHP プログラミング解説
セッションの開始 bool session_start ( void ) PHP: session_start - Manual session_start()は、すべての出力の前に実行される必要があります。これはセッションを開始するとき、PHPはセッションIDをクッキーに書き込むためで、setcookie()を使用する場合と同様の制約となります。 すでに作成されたセッションがあるときには、session_start()はセッションの再開となり、クッキーの書き込みは行われません。 セッションの破棄 session_start(); // セッション変数を削除 $_SESSION = array(); if( ini_get( 'session.use_cookies' ) ) { // セッション クッキーを削除 $params = session_get_cookie_params();
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
