プログラム初心者です
セッション変数の安全性について教えてください
ログインしているかをセッション変数で判定しています。セッションidは使っていません
質問1
悪意をもったハッカーがセッション変数を取得することはできますか?それともセッション変数はクッキーと違い安全なんでしょうか?
質問2
セッション変数の保持時間は決まっていますか?
session_start();
if(!isset($_SESSION['id'])){
header('Location: login.php');
exit();
}
よろしくお願いします
No.2ベストアンサー
- 回答日時:
【回答1】
[Cookie]
ホストに保存されているデータから受け取る。
データ形式は文字列か、それを含む配列にしかなり得ない。
$_GETや$_POSTと同じ。
ホストが勝手に編集することももちろん可能。
[セッション]
Cookieで「セッションID」というデータだけをホスト側に渡し、
実際の$_SESSIONのデータはシリアル化されてサーバー側に保存される。
復元時はCookieで送られてきたセッションIDを照合し、
それに対応する有効期限内のシリアルが見つかれば
デシリアライズされて$_SESSIONに復元される。
[安全性]
攻撃者に「セッションID」を知られることが無ければ安全。
XSS脆弱性があると
http://bakera.jp/glossary/%E3%82%AF%E3%83%AD%E3% …
のようなJavaScriptコードを埋め込まれ、
他人のセッションIDが攻撃者に抜かれてしまうので注意。
また、セッションIDをログイン後にsession_regenerate_id関数で
変更していない場合、セッション固定攻撃の餌食になる。
http://bakera.jp/glossary/%E3%82%BB%E3%83%83%E3% …
【回答2】
http://pentan.info/php/session_gc.html
No.1
- 回答日時:
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- PHP PHPのセッション有効期限について 5 2023/06/14 12:40
- PHP PHPで入力フォームでデータを確認表示画面まで送る流れを日本語で理解したいのです。 1 2023/05/29 19:12
- その他(ゲーム) ファイナルファンタジー7リメイクのnormalクリア後のセッションセレクトについて。 セッションを自 2 2023/04/11 16:52
- PHP 「ログイン機能を持たせる」説明が気難しいです。 2 2022/10/11 02:59
- その他(スマホアプリ・スマホゲーム) スマホアプリのセッション数とはスマホのアプリを立ち上げた回数ですか? 1 2023/05/17 12:10
- ネットワーク OSI参照モデルの各層の役割がわかりません。 3 2023/04/21 21:12
- Google Drive 会社への勤怠届出にGoogleフォームを使用しています。 しかし、最近何故か『このサービスはビジター 2 2022/12/05 00:21
- PHP PHP でメールフォームを作成したい 1 2022/05/04 22:28
- その他(セキュリティ) アカウントの乗っ取りで質問です。長いです。 先月ツイッターの乗っ取りにあい、アカウントを全て新しくし 2 2022/03/25 20:47
- PHP ログインした掲示板ですが、直接開かないような設計するには? 2 2022/10/29 16:30
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
特定のページからのみのアクセス
-
PHPのセッション有効期限について
-
リアルタイムカウンター
-
セッション変数の命名規則
-
session_set_save_handler と ...
-
セッション管理を携帯用とPC用
-
URLのパラメータをGETのままで...
-
負荷分散におけるセッションID...
-
PHP4からPHP5へ移行した際、セ...
-
Dosブロンプトでtabを出力したい
-
「取得先」という表現について
-
Yahoo! JAPAN IDを新規取得でき...
-
PHP一覧表示した項目にリンクを...
-
switch()文で値の大小比較
-
DMMの動画を全件取得したのです...
-
自分の掲示板にアクセス解析を...
-
DTOとEntityの差は何ですか。
-
ps3で久しぶりにCDの音楽情報取...
-
php 入力画面から確認表示画面...
-
小数点以下0の非表示
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
URLのパラメータをGETのままで...
-
PHPのセッション有効期限について
-
PHPのセッションについて
-
ブラウザを閉じた後もセッショ...
-
Sessionの上限について
-
$_SESSIONと、POSTやGETの違い
-
ログインしたら他からログイン...
-
複数のサーバで運営する場合の...
-
301リダイレクトはセッション引...
-
「戻る」ボタンで値の保持
-
セッションのスコープ(有効範...
-
セッション ID とセッション名...
-
ログイン画面をはさんだ後、自...
-
session_start()で生成されるセ...
-
管理者としてログイン
-
セッション変数にパスワードを...
-
セッションを維持したまま、サ...
-
PHP cookieの値が更新されない...
-
セッションが正しく更新されな...
-
POSTで情報を他のサーバーに渡...
おすすめ情報