クッキーをサーバー側で管理することで攻撃に備える

session_start(); //Cookieをサーバー側で管理することで攻撃に備える
(クッキーIDはクライアント側に保管される)

以上のコメントがありました。
　よくわからないのですが？
　「Cookieをサーバー側に管理」すれば　ハッカーなどの攻撃に効果があるのでしょうか？
　よろしくお願いいたします。

質問者からの補足コメント

• 

  追伸です。
  なぜ、クッキーをサーバー側で管理すると
  安全なのでしょうか？
  と書いた方が分かりやすいですね。
  よろしくお願いいたします。

    補足日時：2022/08/11 04:42

No.1 ベストアンサー 回答者： artoo 回答日時： 2022/08/11 21:57

書いた人がどういう意図だったのかは書いた人で無いとわかりませんが、

セッション（あるいはそれと同等の仕組み）を使わないと、リクエストをまたがって保持する必要のある情報は、Cookie（もしくはhiddenのinpuタグ）でクライアント側に保持することになります。クライアント側の情報は悪意のあるユーザーによって改竄可能なので、信用できないわけです。

乱数で生成した文字列のセッションIDだけをクライアントで保持して、そのIDに紐付いた情報は全てサーバーで管理すれば、悪意あるユーザーがそれを改竄することは出来ません。

他人のセッションIDを盗めば他人になりすますことは可能ですが、乱数で生成する長い文字列を予測することは不可能で、簡単には攻撃できません。セッション固定攻撃というのはあるので何事にも完全と言うことは無いのですが。

この回答へのお礼

どうもすみません。
セッションとクッキーをごちゃ混ぜにしていました。

セッションの仕組自体も　理解度が足りませんでした。
以下のサイトに詳しく　説明もあります。
https://kanda-it-school-kensyu.com/php-basic-con …　
　なので　質問内容自体が　支離滅裂でした。
ご了承ください。

お礼日時：2022/08/14 04:54