(Last Updated On: 2018年8月18日)忙し過ぎてタイムリーにブログが書けないです。最近セッション管理の問題が一部で話題になっていました。そこの中に以下のような議論がありました。 ログイン後にsession_regenerate_id()を実行すれば外部からのセッションIDを受け入れても安全 確かにログイン後のセッションIDは本来セッションIDが持つべき属性 一意な値であること 第三者に予測不可能であること を持っています。 しかし、ログイン後にセッションIDを再生成するだけでは不十分な場合は2つ直ぐに思いつきます。 – CSRF(XSRF)防御にセッションID(だけ)を利用している場合 – 外部に出力したデータの改ざん防止にセッションID(だけ)を利用している場合 これらの仕組みはログイン後にのみ利用する機能ではありません。フォーム送信は認証無しで行うことは多いです。ウ
![ログイン後にsession_regenerate_id()を実行するだけで十分か?](https://cdn-ak-scissors.b.st-hatena.com/image/square/9d2015857e00558eb990db2db4a4490aa83e71f0/height=288;version=1;width=512/https%3A%2F%2Fblog.ohgaki.net%2Fwp-content%2Fuploads%2F2013%2F11%2Fcropped-blog_header-2.jpg)