[PHP,ZF] クッキーへセッションIDを保存すると、強制的に再生成されてしまう (それなりブログ)それなりブログ 20台後半からWebエンジニアに転生した人が書く、プログラム・無駄口とかのそれなりのブログ 管理人: kjirou 座右の銘: 「三度の飯より、四度の飯」 PHPのZendFrameworkの話です。 Zend_Session::rememberMe()でクッキーへセッションIDの保存をするようにすると リクエストの度に強制的にsession_regenerate_id()されるようになる。 それで何がいけないかと言うと、この辺↓ モバイル等でセッションIDをGETパラメータにもたす場合は、 ブラウザバックするとセッションが切れる。 GETパラメータへ入れていない場合でも素早くリンクを2連打するとセッションが切れる。 うーん、セキュリティとのトレードオフとは言え、割と見過ごせない感じ・・・。 無料のWebサービスなら、再生成より重視したいところだと思います。
