session_regenerate_id(true) によるセッション切れ
はて、session_regenerate_id(true)ネタ。 いろいろやってみたんですが、session_regenerate_id(true)するとセッション切れます。 ブラウザ連打すると切れます。 でも、セッションハイジャックのことを考えると再生成する必要はあると思うので、下記のような対処で落ち着きました。 1.とりあえずxFrameworkPXでは、MySQLSessionでのみ再生成の連打に対する対応をした。 2.再生成するタイミングを、設定で変更できるようにして、毎回再生成するのではなく、ある一定期間(設定されている秒数)で再生成することにした。 これで、切れません。 おそらく、連打されるとセッションID変わったときに、まだ前のセッションデータが保存される前に、セッション値として空が取得され、それを保存してしまっているため、発生するものだと思われます。 まぁ・・そりゃそうだ
セッションハイジャック と session_regenerate_id( )関数
へんじがない。ただのポンコツのようだ。 ポンコツが今日も持ち場でガンバリつつ、 楽しく生きていくための備忘録ブログ。ぬわーーっっ!!2005年7月から絶賛「更新」中! 【この記事の所要時間 : 約 4 分】 ●PHPのセッション管理の問題とは? PHPのセッション管理は、セッションの固定化(Session Fixation)問題というのがある。この問題に対応するために、ログイン後にセッションIDを作り直して、ログイン後のセッションを保護するという対策が講じられる。 Session Fixationを原因としたセッションハイジャックを防ぐために、セッションIDを置き換える関数というのが、PHPには用意されている。それが、session_regenerate_id( )である。session_regenerate_id( )を使うとセッションIDは新しいものと置き換わるが、セッション情報を維持
ある技術者の備忘録 » アクセス中の人数をカウントする
現在サイトを見ている人の人数を数えたいという要求がありました。 HTTPは基本的に状態を持たないステートレスなものなので、厳密に言えばアクセス中の人数をカウントすることは不可能です。そこで(かなり曖昧ですが)、セッションが有効であればアクセス中とすることにします。 PHPにおけるセッションはデフォルトではファイルに保存されています(session.save_handlerで変更可能です)。1セッション につき1ファイルになり、無効なセッションは削除されていきます。そこでセッションファイルが保存されているディレクトリにあるファイルの数をアクセス中 の人数とすることとしました。ただし、同一サーバ上の他のサイトでもPHPを動かしていてセッションを使っている場合、そのままではセッションファイルが 保存されるディレクトリも共通になります。そこでセッションを開始する前に、対象のサイト独自でセッションフ
セッションの有効期間とか設定とか挙動とかを調べました - [PHP + PHP] ぺんたん info
PHPでログインページを作ったりするときに、よくセッションを使ったりすると思いますが、 じゃあセッションってどのようになってるのでしょうか。 [参考]セッション固定攻撃 [参考]GPC(GET/POST/cookie)以外の情報を送るアラワザ [参考]アンダーバーのあるドメインではセッションクッキーは使用できません セッションの破棄されるタイミング ガベージコレクト(ガベージコレクション、ガーベッジコレクション、ガーベッジコレクタともいわれます)とは、『ごみ拾い』という意味です。 session_start()が行われたときに、session.gc_probabilityを分子、session.gc_divisorを分母とする確率で、 session.gc_maxlifetimeよりファイル更新日付の古いファイルをsession.save_pathから削除します。 デフォルトでは、1/10
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
有限会社プラネット・リンク
