symfonyでsession_regenerate_id() - ぬかるむ日々session_regenerate_id()を使うとセッションIDを簡単に変更できるので、少なからずセッションハイジャック対策ができる。 symfonyで認証画面を作り、ログイン時にsession_regenerate_idしてIDを再発行しようと思ったけど、デフォルトのsfSessionStorageを使うとID変更前に処理が終わってしまい画面遷移したあとに変更後のIDでセッションが利用できない。 なので、とりあえず自前でmySessionStorageクラスを用意して回避することにした。 project/lib/storage/mySessionStorage.class.php <?php class mySessionStorage extends sfMySQLSessionStorage // ※ウチの環境ではsfMySQLSessionStorage使ってるので { pub
