【PHP】セッションについて語ろう！【PHP】

**nobodyさん** · 03/09/24 19:31

ブラウザを閉じたらセッションの効果がなくなるのって、
ブラウザを閉じることでクッキーを消しているからなのですね。。
知らなかったよーーーーうわーーーん

**nobodyさん** · 03/09/24 19:32

いちいちセッションの機能使わなくてもよく考えたら、
IPをキーにして
普通につくれるじゃん。。
と思ったんんだけどどうう？

**nobodyさん** · 03/09/24 20:24

1、スレ建て宣言…………１
2、開会の辞………………１
3、煽り………………住人有志
4、逝ってよし……………１
5、御前もな………………住人有志
6、決意表明………………１
7、祝電披露………………1の家臣
8、来賓挨拶………………1の母親
9、来賓挨拶………………1の主治医
10、余興……………………もな踊り保存会
11、余興……………………１騙り太夫
12、送辞……………………大検
13、答辞……………………１
14、板歌斉唱………………全員
15、閉会の辞………………スレッドストッパー
16、終了宣言………………ひろゆき（削除忍代読）

**nobodyさん** · 03/09/24 22:39

早くPHP5出ないかなぁ・・・。

**nobodyさん** · 03/09/24 22:40

>>2
世の中の全端末にグローバルIPアドレスを付与出来るようになったのなら、それでも良いんだろうけどな。
NATやNAPT、プロキシサーバなんてもんが存在してしまうわけだ。

**sage** · 03/09/24 23:20

>>5
それって何か問題ある？

**nobodyさん** · 03/09/24 23:48

完全ではない、という問題。

**sage** · 03/09/25 00:23

IPが変わる可能性がある、ということだよね。
変わらなければ問題はない。
けれども変わるから完全ではない。

でも用途によれば、問題なく利用できるよね。
使う目的によって、価値も変わってくるということだ。

**nobodyさん** · 03/09/25 00:41

あげ

**nobodyさん** · 03/09/25 00:57

セッションだけで1000まで逝くか?

**sage** · 03/09/25 02:07

実際、、どうやったら、セッションの代わりになるんですか？
誰かおしえてちょんまげ

**nobodyさん** · 03/09/25 10:43

IPが変わるとか、ブラウザの起動中だけとか言ってるけど
問題はその逆。
同じアドレスで複数の人がアクセスする可能性
同じクライアントで別人がアクセスする可能性

これがあるから、そのままでは使えない

**sage** · 03/09/25 17:47

っていうかIPをキーにするんじゃなくて、クッキーをキーにしたら、
セッションと同じ機能をまるごとつくれるんじゃないか？

**sage** · 03/09/25 17:49

>>12
同じクライアントで別人がアクセスする可能性

セッションでもそれが言える罠。

**nobodyさん** · 03/09/25 18:38

なんだこのレベルの低さは

**nobodyさん** · 03/09/25 19:19

>>14
いやだから、ログアウトやブラウザ閉じたら無効にする機能が必要

**sage** · 03/09/25 19:28

>>16
クッキーの有効期限を0にしたら同じじゃないの？

**nobodyさん** · 03/09/25 19:43

ｲｲﾖｰｲｲﾖｰあげ

**nobodyさん** · 03/09/25 21:11

今どきクッキーでセッション管理してﾓﾅｰ

**nobodyさん** · 03/09/25 22:05

>>8
アホか。

**nobodyさん** · 03/09/26 00:02

オマエラなぁー、せめて↓くらいひととおり見ろよ、とりあえず。

PHP マニュアル：セッション処理関数(session)
http://php.planetmirror.com/manual/ja/ref.session.php

クッキー仕様書日本語訳
http://www.futomi.com/lecture/cookie/specification.html

**nobodyさん** · 03/09/27 07:48

「ブラウザの戻るボタンで戻ってリロード→2重処理」
の回避策にsession使ってるけど邪道？

**nobodyさん** · 03/09/27 10:39

>>22
素直にDBの主キーと比較するとかもあると思うけど、それほど邪道でもないかと。
複数ページでのつながりを確保するのが目的だからな。

**nobodyさん** · 03/09/27 20:12

>>22
sessionでチェックという以前に、
遷移先画面にリダイレクトさせて、戻れなくするのが基本じゃないのかなぁ？？

**直リン** · 03/09/27 20:13

http://www.leverage.jp/bloom/qry/search.qry?function=first

**nobodyさん** · 03/09/27 20:30

>>24
エラーが出たとき入力内容が一切合切消えるのは非常に迷惑。

**nobodyさん** · 03/09/28 22:13

>>26
言ってる意味がよくわからん
それって、クライアント側のバッファ利用の問題で、二重投稿処理とは関係ない

**nobodyさん** · 03/09/28 22:40

戻れなくして不便を強いられるより、そういう配慮をしてくれる
ところのほうが好感が持てますね

**nobodyさん** · 03/09/30 15:43

age

**nobodyさん** · 03/10/01 12:48

php

**nobodyさん** · 03/10/01 18:29

sesson

**nobodyさん** · 03/10/01 18:45

Yahooのサイトでは、クッキーを使ったセッションで認証をやってて、クッキーが分かっても設定されてるクッキーが
Yahooドメインかどうかを判断して不正ができないようにしているみたいですが、これってクラックの危険性はありますか？
大丈夫そうだったらウチのサイトでも導入しようかと考えてます。

**nobodyさん** · 03/10/01 19:14

危険が無いわけじゃないが、あちこちで使われている手法だし
対策はされている。

**nobodyさん** · 03/10/02 04:12

session_startってやらないと、$_SESSって呼び出せないの？

**nobodyさん** · 03/10/04 01:01

>>34
php.ini

**nobodyさん** · 03/10/04 07:34

レベルの低さからしてネタスレか？

**nobodyさん** · 03/10/05 22:20

>>36

>>2から１０個ぐらいの書き込み見ると、完全にネタスレだと思ったけど、
その後、ベタっぽい低空飛行で展開されているようなので、俺も判断に苦
しんでる。

**age** · 03/10/11 00:19

>>22,26,28,33
などは、典型だが、良い子は、まねしないでね。晒し上げ。

**nobodyさん** · 03/10/11 00:23

根拠を書かない>>38を晒しあげ

**nobodyさん** · 03/10/11 00:39

phpマニュアルのセッション関数（セキュリティ部分）を抜粋してみたYO。

------------------------------------------------------------------------------
セッションとセキュリティ
外部リンク: Session fixation

セッションモジュールは、セッションに保存した情報を見ることができるのが
そのセッションを作成したユーザーだけであることを保証することができません。

セッションの完全性を積極的に守るには、そのセッションに紐づく値に応じた追加措置が必要です。
セッションに運ばれるデータの重要性を評価し、必要な保護策を講じて下さい。
これには通常、お金があかり、ユーザの利便性を損なうことになります。例えば、簡単な
社会工学的な策略からユーザを守るためには、 session.use_only_cookiesを有効にして下さい。
この場合、ユーザ側でクッキーは無条件に有効となっている必要があります。そうでない場合、
セッションは動作しません。

存在するセッションIDが第三者に洩れる手順は何種類かあります。
洩れたセッションIDにより、第三者が特定のIDに関連する全てのリソースにアクセスできるように
なります。まず、セッションIDがURLにより伝送される場合です。外部サイトにリンクを張っている場合、
外部サイトのreferrerログにセッションIDを含むURLが保存される可能性があります。
第二に、よりアクティブな攻撃者がネットワークのトラフィックをモニターしている可能性があります。
セッションIDが暗号化されていない場合、セッションIDはネットワーク上を平文テキストで伝送されます。
解決策はサーバ上にSSLを実装し、確実にユーザに適用することです。
-------------------------------------------------------------------------------

**nobodyさん** · 03/10/11 08:32

>>40
で？
そんな分かりきった事をのっけて何が言いたいの？？

**nobodyさん** · 03/10/11 10:46

>>41
初心者には分かりきったことではないんでしょう。
なぜつっかかるのかわからん。

**nobodyさん** · 03/10/11 21:38

>>42何が言いたいかわからん、ということを言いたいのじゃないのか？>>41は

参考 · 03/10/12 02:38

貧弱なセッション管理について
ttp://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.html

・セッションハイジャック
・Session Fixation攻撃

**nobodyさん** · 03/10/12 02:43

>>39
キャッシュを public にすると、そのままブラウザ閉じても、そのＵＲＬを開けばまた
情報が出てくるからじゃないの？

**nobodyさん** · 03/10/12 02:47

キャッシュの話と>>28は関係ない
>>28は戻るボタンを用意して、内容を復元する配慮をしてくれと
言ってるので、ブラウザの戻るでのキャッシュを使えとは言ってない

**nobodyさん** · 03/10/12 02:51

>>33もあれだな。
クラックの危険があるから通常は対策していると言ってるので
指摘される理由がわからんな

**nobodyさん** · 03/10/12 03:08

セッションが使えるケータイってありますか？
ちなみに、J-PHONE J-SH05ではダメみたいです。

**nobodyさん** · 03/10/12 03:14

>>48
セッションの仕組み一度自分で作ってみたらどう？と思ったよ

**nobodyさん** · 03/10/14 21:07

session_set_save_handler()でDB(MySQL)にセッション情報を保存して管理する処理を
書いて普通にうまくいってたのですが、idを毎回変えたくて
ttp://www.asahi-net.or.jp/~wv7y-kmr/note/2003-09.html#YMD20030907_PHP
を参考に、疑似 session_regenerate_id()を作りました。

function session_switching() {
$qq = serialize($HTTP_SESSION_VARS);
if (!session_destroy()) {
session_id(md5(uniqid(rand(), 1)));
session_start();
$HTTP_SESSION_VARS = unserialize($qq);
return true;
} else {
return false;
}
}

んで、
session_start();
$noerr = session_switching();
ってやってみたんですが、関数の中のsession_start()で
「Fatal error: Failed to initialize session module」が出てしまいます。
destroy()したあとすぐにstart()するときに何か特別に注意することってあるんですか？
DB関連とsession_set_save_handlerはここをヒントにしました。
http://itbtech.itboost.co.jp/php/php_12.php
DBじゃなく、普通のファイル管理ではうまく動きました。
環境は、RedHat8.0, PHP-4.2.2, MySQL-3.23.56です。

**nobodyさん** · 03/10/14 21:11

訂正：session_switchingの２行目

if (!session_destroy()) {
　↓
if (session_destroy()) {

**nobodyさん** · 03/11/13 18:52

生きてるか？ｗ

**nobodyさん** · 03/11/19 18:30

ﾊｲ

**nobodyさん** · 04/01/08 05:26

ｱｹﾞ

実際の所さCOOKIE無効のクライアントでも同一か認識できるから
俺はCOOKIEへの保存をセッションに保存してるわけだが

邪道かな？

**nobodyさん** · 04/01/09 19:32

良いんでない？俺もそうするときがあるよ。

**ななしくん** · 04/01/27 22:58

セッション使ったプログラムかいてたんだけどさ、
使い方があまりにも簡単すぎて（$_SESSIONとクッキー使った場合）
こっちは身構えてるので、逆に解説とかがわかりにくかった(藁

**nobodyさん** · 04/01/28 03:07

>>56
確かにセッション使うのは楽だけど、
動作原理はしっかり理解する必要があるよ。

**ななしくん** · 04/01/28 06:10

>>57
様々な解説書サイトなどはそういう意図で、原理を説明されてるんだとは思います。
なんか、「どう使うか！！！」がなかなかわからなかったんですよ(藁

**nobodyさん** · 04/01/28 08:42

ｵｲﾗも初めてセッションを使い始めた時は、>>58と同じような感じだったなぁ。

セッションが機能するのに何ページ必要かとか悩んだ悩んだ。
a.html　フォーム
　|
b.php session_start(); $_SESSION['data']='a';
　|
c.php sessin_start(); $data = $_SESSION['data'];

**nobodyさん** · 04/01/29 07:51

同じく。実際やってみて思っていたより激しく簡単だったので
自分がやってることが、全然見当外れなのではないかと思ったりも。
もしかしたら、そうなのかもしれない。
一応自分の思ったとおりに動作しているし、人にチェックしてもらっても
ちゃんと動作していると彼は言う…。

>>57
使い方だけで、まだ原理とかあやふやなので
ちゃんと勉強してみようと思います。

**nobodyさん** · 04/02/01 18:12

>>54
どうやってクライアントを認識しているのか教えてほしいage

**nobodyさん** · 04/02/12 11:51

以前作ったショッピングサイト（注文数50件強/日※PHPではない）はクッキーでセッション管理してるけど、
カートに商品が入らないという問い合わせが、頻繁ではないがどうしても尽きない。
結局、クライアント側の設定に依存するし、やはり客に色々設定を強いるのはどうかと思う。

次やるとしたらamazonのようにURLに渡して管理したいけど、カート以前のページは
よほど商品数が多くない限り、一般的に静的に作りますよね？

そこで、URLでセッション管理したいがために、静的HTMLで済むものを、全部PHPで動的に
出力するのは馬鹿げた考えでしょうか？

**nobodyさん** · 04/02/12 16:36

>>62
いいんじゃない？
URLにセッションIDとか渡すのって普通だと思う。

**nobodyさん** · 04/02/14 08:52

俺はPHPじゃなくてJSPだが、静的ページも全部JSPだよ（商用）。
PHPでも同じようなことしてるひといるでしょう。

**nobodyさん** · 04/02/14 17:19

$_SESSION['msgs'] .= htmlspecialchars($_POST['msg'])
とすると、<input name="msg">に入力された文字列が
/tmpのセッションファイルに書き込まれると思いますが、
保存されるときの文字コードはブラウザから送られてくる
文字コードのままなんでしょうか？

1行目の方法で保存したものを、echo $_SESSION['msgs'];
で出力しても日本語部分が表示されません。
よろしくお願いします。

ブラウザはIEで、サーバー側はこうなってます。
mbstring.internal_encoding = EUC-JP
mbstring.http_output = SJIS
/tmpにある今回のセッションファイル　：　SJIS

**nobodyさん** · 04/02/14 19:01

こんにちは、PHP、Apacheという構成でi modeでセッション管理を行うことは可能なのでしょうか、可能であるとすればphp.iniやhttpd.conf等の設定部分や、またPHPスクリプトに特に留意するポイント等あれば教えて下さい。

**nobodyさん** · 04/02/17 21:52

できるけどGETでのセッション管理なんで認証とかにはつかっちゃ駄目

**nobodyさん** · 04/02/18 22:47

>>62
Amazonのように作るならOKじゃないの。
あれのカートは「誰の」という情報とは結びつかないようにしてあって、
会計の段階で「誰の」に結びつけるようにしてる。
# cookieが使える場合には、名無しさんAのカートのように、名無しさんも
# 区別して結びつけるけど。cookieに保存したセッションIDを使って。

その辺の個人情報や決済部分と切り離して設計できてれば
カート情報なんて商品リストの中から商品を選んだだけの存在だからね。

**nobodyさん** · 04/02/19 21:15

>>68cookieなしで amazon 使えるの？

68 · 04/02/19 23:37

>>69
普通に使えますよ、カート機能自体はSIDがURLに付加されてますし。
cookieが使える場合はその他の機能がプラスされたり、
カート機能の照合補正が行われたり。結構上手く出来てると思います。
気にならない(気づかない)というところも上手いところ。

**nobodyさん** · 04/03/04 23:25

session_startした後にPOSTしたページに
戻るボタンで戻ったら有効期限切れってなるのは
どう言う解決法があるのですか？

**nobodyさん** · 04/03/07 22:46

ﾎｼｭﾎｼｭ

**nobodyさん** · 04/03/09 22:32

おそレスですけど、
昔から、通販業者系はサーバサイドのセッション管理が標準だね。

**nobodyさん** · 04/03/18 02:35

セッションですか?!
私にお任せあれ!!!!!

**nobodyさん** · 04/03/18 05:54

>>71
session.cookie_lifetime integer

session.cookie_lifetimeは、ブラウザに送信するクッキーの有効期間を秒単位で指定します。値0は、"ブラウザを閉じるまで"を意味します。デフォルトは、0です。 session_get_cookie_params()および session_set_cookie_params()も参照して下さい。

**nobodyさん** · 04/03/18 09:33

ブラウザを閉じても１時間は有効であるように、
ini_set( 'session.cookie_lifetime' ,’3600’ );と記述しました。
書き方がおかしいでしょうか？
この書き方では、設定変更は出来ないようです。

Local Valueは3600に変わるのですが、Master Valueは0になっております。
Master Valueも3600には変わらないのでしょうか？

ini_setを使えばソースから書きかえられると思うのですが。

**nobodyさん** · 04/03/18 10:37

>>76
こっちのスレの方が相応しいけど、マルチポストいくないっ

**nobodyさん** · 04/03/18 10:53

>>77
一言添えればよかったですね。
ちょっとこちらで質問させてください。

**nobodyさん** · 04/03/18 12:14

>>78
76の内容については向こうで既にレスが付いているが？
Local Valueではなく、Master Valueでないと駄目という理由が判らん。
値の優先度はLocal(高)、Master(低)。ディレクトリごと指定したいのなら、
Apacheの場合だと.htaccessを利用すれば良かろ

**nobodyさん** · 04/03/18 14:49

ini_set( 'session.cookie_lifetime' ,’3600’ );と
記述して、セッションIDが追加されなくはなります。

しかし、// ini_set( 'session.cookie_lifetime' ,’3600’ );と
記述して設定をやめて、アップしても
セッションIDが作られないんです。

**nobodyさん** · 04/03/19 15:09

鯖を数日動かしてると、
セッションが不安定にならない？
漏れの鯖は三日くらいでセッションがプチプチ切れるようになる。
apacheを再起動すると治るけど、
コレってPHPの設定がおかしいからかな？

**nobodyさん** · 04/03/19 17:48

>>81
PHP のバージョンと OS は何？
Linux で PHP 4.2.x を使っていた頃に同じ状態で苦労したことがあるけど。

Apache の error.log に Segmentation Fault とかのログが残ってる？

**nobodyさん** · 04/03/19 22:04

>>82
child pid ***** exit signal Segmentation Fault

ログにはこんなもんがいくつか残ってました
OSはRedhatLinuxでapache1.3.27、PHP4.3.2です
なんか分かりますか？

82 · 04/03/20 00:30

>>83
php.ini のセッションの設定で、

session.save_handler

に files 以外を指定している場合は安定しないかもしれない。

でも、PHP 4.3.2 だと、

bug #24592 (NULL related crash in session extension)
bug #22154 (Possible crash when memory_limit is reached and output buffering in addition to session.use_trans_sid is used)

の可能性の方が高そう。PHP 4.3.3 で修正されているみたいなので
バージョンアップしたらセッション周りは安定するかもしれない。
今なら、PHP 4.3.4 かな。もうすぐ PHP 4.3.5 が出そうだけど。

まあ、クリティカルなシステムをバージョンアップするなら、
十分にテストしてからにした方がいいと思う。

**nobodyさん** · 04/03/20 10:00

>>84
どうもです
ああ、やっぱバージョンのせいなんですかね
セッション機能にはmmを利用しているんですが、
どうせ処理速度には大差がないだろうし、filesを検討します
そのうちPHP5が出てきそうですが、
焦って飛びつくのは危険そうですね

84 · 04/03/20 10:55

>>85
PHP 4.2.x の頃に、パフォーマンス的に有利ということだったので、

session.save_handler = mm

にしていたことがあったけど、>>81 とほぼ同じ症状になった。
原因が分からず、随分悩んだ後、files に戻したところ、安定するようになった。

PHP 4.3.0 以降では確認していなかったけど、修正はされていないのかな。

**nobodyさん** · 04/03/20 12:40

いまfiles指定して動かしてみたところ、
特に処理速度にも問題ないし、とりあえず大丈夫
まあ今後>>81の症状がでるかどうかまだ分かりませんが･･･

でもコレはPHP4.3.2の問題じゃないかもしれませんね
apacheもlogrotateの時にサービスが落ちたりしますから
今じゃ毎朝cronでapacheを再起動してます（苦笑）

87 · 04/03/20 13:11

自分で書いてて思ったんですが、
apacheがちょくちょく落ちるのってかなりやばいよなあ（汗）
OSのレベルからアップグレードを考えるいい機会かもしれない

86 · 04/03/20 13:35

>>87
その状態だと、PHP の方が問題の可能性が高いと思う。
当時は、3日から 1週間にに一度再起動していたし、
apachectl で restart すると Apache が落ちてしまって、
apachectl start しないと起動しない状態になっていたので。

files に変更してからは、Apache が落ちることもなくなったので、
同じ問題だとすると、安定するかもしれないので、しばらく様子を
見てもいいかもしれない。

セキュリティ問題のこともあるので、簡単にバージョンアップできる
のであれば、バージョンアップした方がいいと思うけど。

**nobodyさん** · 04/03/20 15:55

>>86
mm ってなんですか？
当方セッション情報を MySQL に入れるハンドら作って動かそうとしているのですが、
既存のがあるんなら使っちゃおっかな～

**nobodyさん** · 04/03/20 16:33

>>90
maji mukatsuku

86 · 04/03/20 20:56

>>90
セッションの保存用の共有メモリ。
ttp://jp.php.net/session

mm を使うと不安定になるという話をしていたのだが、PHP の最新版では
修正されている可能性もあるので使いたいのならどうぞ。

mm をインストール(既にインストールされている Linux ディストリビューションもある)して、
ttp://www.ossp.org/pkg/lib/mm/

PHP の configure で --with-mm を指定してコンパイルする。
php.ini で

session.save_handler = mm

に変更して Apache を起動。

90 · 04/03/21 03:27

おぉ！phpに既に用意されてるのね。さんきゅー
どれどれ・・ふむふむ・・
なーんだ、mmってモジュールの名前なのね・・
こっちか・・ http://www.ossp.org/pkg/lib/mm/
UNIXで動くのね・・どれどれ

#whereis mm
mm: /usr/ports/devel/mm

をを、Portsに入ってるジャン
んでも、こいつの動作検証せなあかんのか～めんどくさっ

以上５分で却下しますた。ごめん。

**nobodyさん** · 04/04/02 20:40

こんなんが出てくるんですけど・・・
Warning: session_start(): Cannot send session cookie - headers already sent by
(output started at c:\program files\apache group\apache\htdocs\session\
session_test_1.php:2) in c:\program files\apache group\apache\htdocs\session\
session_test_1.php on line 3

session();の行でエラーなんだそうです。
/tmpのフォルダもＣドライブに作りますたがダメです。

なんででしょうか？

**nobodyさん** · 04/04/02 20:46

>>94
すんません！いきなり判明しました・・・
１行目を空白にしていたのが原因でした。

1:　　　　←空白行にしていた
2:<?
3:session_start();
4:$_SESSION['register'] = 0;
5:
6:?>

1:<?
2:session_start();
3:$_SESSION['register'] = 0;
4:
5:?>

にしただけで治りました・・・
お騒がせしてすんません。

**nobodyさん** · 04/04/04 21:49

IE6でクッキー機能をOFFにしているのにセッションが使えてしまう。
PHPのSIDもOFFにしているのに・・・
なぜ？

・・・と書き込もうとしたら2chに書き込めないｗ
なぜ掲示板でクッキー必須なんだ？

**nobodyさん** · 04/04/04 22:30

>>96
見逃してるだけだよ。
セッションが使えているなら、cookieかURIパラメータの中に必ず埋め込まれている。

**nobodyさん** · 04/04/04 23:29

>>96
勘違いしてるだけだな。

**nobodyさん** · 04/04/04 23:53

>>96
コンテンツの中に埋め込む場合もあるけどね。

90 · 04/04/05 01:55

セッションが使えていると勘違いしているに２００＄＄

96 · 04/04/05 23:36

いや、セッションが使えてるのは間違いないのよ
<?php
echo $_SESSION["name"];
?>
とかでセッション情報をページに表示させるようにしてるから

URIパラメータもないし・・・
クッキーがコッソリ動いてるのか？とも思ったが、
2chに書き込みが出来なかったので、それも考えにくい・・・
自分のサイトだけクッキーが有効になってたのか？分からん・・・