前回、Cookieとセッションについての基本的な部分をご説明させていただきました。 今回はもう一歩踏み込んで、PHPでセキュリティを高める為にすべき事をご説明したいと思います。 動くだけでなくセキュリティも意識したシステムとなるよう、しっかりと対策していきましょう。 セッションIDをURLに含めない 前回のブログで、PHPではCookieを利用してセッションIDを管理していると言いましたが、 設定によってはURLにセッションIDを付加して管理することも可能です。 デフォルト設定ではCookieで管理する設定になっていますので変更する必要はありませんが、 この設定を変更するとセッションIDが画面上に表示されている状態となります。 画面を見られただけでセッションIDが盗まれてしまい、 ユーザーのなりすましなどをされてしまう可能性があるので、 PHPでセッションIDをURLに含めないよう、php
![あなたのサイトは大丈夫? PHPでやるべきセッションハイジャック対策! | 株式会社AMG Solution](https://cdn-ak-scissors.b.st-hatena.com/image/square/09f52774d7b30829db3c0454ae1743f826ebb7bd/height=288;version=1;width=512/https%3A%2F%2Famg-official.s3.ap-northeast-1.amazonaws.com%2Fwp-content%2Fuploads%2F2016%2F05%2F27104112%2Fsessionhijack-ic.png)