XMLHttpRequest と セッション (tonextone.com/type/)PHP におけるセッション管理では、 $_GET ではなく、$_POST でもなく、$_COOKIE からセッションID を受け取り、 さらに、$_COOKIE 以外で半券(チケット)を受け取って、 セッションID と照合して正当性を確かめるのが定石だ。 1. $_COOKIE による受け取りが必要な理由: 1.1 悪意の第三者は、あなたのリクエストに含まれる $_GET, $_POST を、自由自在に変更する罠を作れる。 1.2 PHP ではリクエスト変数($_GET, $_POST, $_COOKIE)によってセッションID を指定できる。 したがって、 $_GET, $_POST でセッションIDを受け取るようなシステムでは、 悪意の第三者が仕掛けた罠によって、 悪意の第三者が指定したセッションID で、 あなたのセッションが開始される可能性がある。 2. $_COOKIE 以外での
