プログラム初心者です
セッション変数の安全性について教えてください
ログインしているかをセッション変数で判定しています。セッションidは使っていません
質問1
悪意をもったハッカーがセッション変数を取得することはできますか?それともセッション変数はクッキーと違い安全なんでしょうか?
質問2
セッション変数の保持時間は決まっていますか?
session_start();
if(!isset($_SESSION['id'])){
header('Location: login.php');
exit();
}
よろしくお願いします
No.2ベストアンサー
- 回答日時:
【回答1】
[Cookie]
ホストに保存されているデータから受け取る。
データ形式は文字列か、それを含む配列にしかなり得ない。
$_GETや$_POSTと同じ。
ホストが勝手に編集することももちろん可能。
[セッション]
Cookieで「セッションID」というデータだけをホスト側に渡し、
実際の$_SESSIONのデータはシリアル化されてサーバー側に保存される。
復元時はCookieで送られてきたセッションIDを照合し、
それに対応する有効期限内のシリアルが見つかれば
デシリアライズされて$_SESSIONに復元される。
[安全性]
攻撃者に「セッションID」を知られることが無ければ安全。
XSS脆弱性があると
http://bakera.jp/glossary/%E3%82%AF%E3%83%AD%E3% …
のようなJavaScriptコードを埋め込まれ、
他人のセッションIDが攻撃者に抜かれてしまうので注意。
また、セッションIDをログイン後にsession_regenerate_id関数で
変更していない場合、セッション固定攻撃の餌食になる。
http://bakera.jp/glossary/%E3%82%BB%E3%83%83%E3% …
【回答2】
http://pentan.info/php/session_gc.html
No.1
- 回答日時:
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・14歳の自分に衝撃の事実を告げてください
- ・架空の映画のネタバレレビュー
- ・「お昼の放送」の思い出
- ・昨日見た夢を教えて下さい
- ・【お題】絵本のタイトル
- ・【大喜利】世界最古のコンビニについて知ってる事を教えてください【投稿~10/10(木)】
- ・メモのコツを教えてください!
- ・CDの保有枚数を教えてください
- ・ホテルを選ぶとき、これだけは譲れない条件TOP3は?
- ・家・車以外で、人生で一番奮発した買い物
- ・人生最悪の忘れ物
- ・【コナン30周年】嘘でしょ!?と思った○○周年を教えて【ハルヒ20周年】
- ・ハマっている「お菓子」を教えて!
- ・最近、いつ泣きましたか?
- ・夏が終わったと感じる瞬間って、どんな時?
- ・10秒目をつむったら…
- ・人生のプチ美学を教えてください!!
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・都道府県穴埋めゲーム
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
POSTで情報を他のサーバーに渡...
-
完全なセッション破棄をしたい
-
URLのパラメータをGETのままで...
-
同時アクセスを制限する方法は?
-
PHP cookieの値が更新されない...
-
クッキーを使わないセッション...
-
別ブラウザ間でセッションの値...
-
Sessionの上限について
-
セッション ID とセッション名...
-
http<>https間のでセッションID...
-
次回から自動でログインとセッ...
-
Dosブロンプトでtabを出力したい
-
DTOとEntityの差は何ですか。
-
phpでcookieがうまく保存されない
-
shシェルスクリプト 空白行の...
-
「取得先」という表現について
-
wordの差し込み印刷で文字...
-
switch()文で値の大小比較
-
【C#】DataGridViewの最大列数...
-
findstrのerrorlevel
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
URLのパラメータをGETのままで...
-
Sessionの上限について
-
セッション ID とセッション名...
-
【PHP】SESSION変数の競合を...
-
セッションのスコープ(有効範...
-
PHP cookieの値が更新されない...
-
ログイン画面をはさんだ後、自...
-
セッション変数にパスワードを...
-
ログインしたら他からログイン...
-
「戻る」ボタンで値の保持
-
session_start()で生成されるセ...
-
POSTで情報を他のサーバーに渡...
-
二重ログイン管理について
-
ブラウザを閉じた後もセッショ...
-
複数のサーバで運営する場合の...
-
The session id contains inval...
-
複数ページでセッションを使わ...
-
一意なページを作るには
-
クッキーを使わないセッション...
-
別ブラウザ間でセッションの値...
おすすめ情報