【PHP】セッションについて語ろう!【PHP】
■ このスレッドは過去ログ倉庫に格納されています
0001nobodyさん
03/09/24 19:31ID:SnRvXmpIブラウザを閉じることでクッキーを消しているからなのですね。。
知らなかったよーーーーうわーーーん
0772nobodyさん
2007/07/15(日) 01:08:57ID:???0773nobodyさん
2007/07/15(日) 01:32:35ID:???1.セッション付きのURLから外部のサイトに飛びました
2.外部サイトの鯖ログ(もしくはアクセス解析)に、セッション付きのURLが残りました。
3.その外部サイトの管理者がURLにアクセスしました
セッション管理法が糞なら、こんな事でハイジャックされてしまう事もあるわな。
非常に低レベルなお話だが
0774nobodyさん
2007/07/15(日) 01:33:12ID:???↑これは、リファラとしてって事な。
0775nobodyさん
2007/07/15(日) 01:49:10ID:???実装次第だけど、セッションIDがどこに保存されているかは大体目星が付くよね?
それをどうにかして奪おうと頑張る人がいるんだよ。
0776nobodyさん
2007/07/15(日) 17:28:02ID:???それってURLがPHPSESSIDってなっているサイトだよね?
たまに大手サイトであるけど、ほとんどセッションはクッキーで保存
するタイプじゃないの?
0777nobodyさん
2007/07/15(日) 22:10:31ID:???恥を知れ
0778nobodyさん
2007/07/15(日) 23:30:12ID:???けど、上記に出てるようにセキュリティ的なリスクが高いじゃないか。
0779nobodyさん
2007/07/16(月) 10:55:19ID:???携帯サイトの場合は、最低限session_nameはデフォルト以外を使う(EZwebを除く)。
ってことでOK?
0780nobodyさん
2007/07/17(火) 08:16:46ID:???セキュリティもへったくれもないような
0781nobodyさん
2007/07/17(火) 10:55:11ID:???だから、セッションIDが漏れても大丈夫なように対策をするわけだ。
非常に低レベルな対策としてはIPアドレスを使う方法だが、
これは例えばDoCoMo携帯みたいに接続ごとにIP変わる場合には使えねぇな。
DoCoMoはリファラ吐かないが、auなんかリファラ吐くから簡単にセッションIDは漏れる。
だから、例えばauの個体識別番号なんかを使って、万が一セッションIDが漏れても
大丈夫なように対策をするわけだろ?
でも個体識別番号の通知をオフにする設定も出来るわけで、そこら辺どう対策していくかとかさ。
それ以前に、最近のau機種の大半ははクッキー対応してるけどw
俺の管理しているサイトの鯖ログには、
mixiのセッションIDがくっついたリファラや、
YahooメールのセッションIDがくっついたリファラがたくさん残ってるが、
だからといってそのURLにアクセスbオても無駄だわbネ。当たり前。
0782nobodyさん
2007/07/17(火) 16:09:19ID:???mixiはたぶん、毎ログインごとにセッションIDをDBに保存していると思う。
だから、1人のユーザがログインしている時だけ有効なセッションIDを
利用するから、二度と同じセッションIDは使えないわけで、
それがセキュリティ対策になっているのだと思う。
と言ってもOpenPNEのソースをみた印象なので、正しいかどうかはわからないが。
0783nobodyさん
2007/08/13(月) 17:11:35ID:2Us4/V6Clocalhost/test/sessiontest/index.php ←ここでsession_start()してprint session_id(); print session_name();
localhost/test/index.php ←ここでsession_start()してprint session_id(); print session_name();
すると両方とも名前はPHPSESSIDなんですがIDが違ってて、sessiontest/index.phpでセットした値が上の階層で使えません。
下階層でセットしたセッション情報って上の階層で拾うにはどうすればいいのでしょうか。
0784nobodyさん
2007/08/13(月) 19:51:06ID:???0785nobodyさん
2007/08/31(金) 15:08:21ID:1lVu4gM5軽量な奴で。
0786nobodyさん
2007/08/31(金) 18:25:49ID:???0787nobodyさん
2007/08/31(金) 20:00:57ID:???0788nobodyさん
2007/08/31(金) 23:38:44ID:???0789nobodyさん
2007/09/01(土) 01:28:14ID:NDVzf3zM俺が自分で作ったやつがある
0791nobodyさん
2007/09/01(土) 16:55:59ID:fGUplrri一瞬、ハーバーライフと間違えるところだった。。
違うよ、コレは。
ヤフオク関連の最強情報
これを知らずして、ヤフオクで稼ぐことは出来ない。(キッパリ)
http://2ch2.net/.l?=jd2e
0792nobodyさん
2007/09/01(土) 19:11:24ID:???0793789
2007/09/03(月) 09:18:25ID:ipYR2CKm>セッション管理のヘルパとかライブラリ
とかって、何に対してして欲しいのさ?
Perlやってた俺としては、PHPは十分便利だと思うけど?
0794nobodyさん
2007/09/03(月) 09:52:57ID:M+H83k8j0795789
2007/09/03(月) 11:44:25ID:ipYR2CKm0796nobodyさん
2007/09/03(月) 13:43:02ID:???0797nobodyさん
2007/09/03(月) 22:23:06ID:???さらに携帯では制限付くよ。
というかDoCoMoがいつまでもCokkie非対応で
そろそろ機能が付くという話も聞いた気がしたがサイトに情報なかったな。
0798nobodyさん
2007/10/06(土) 16:08:49ID:iTscqPhy同じ現象を経験した人いる?
0800nobodyさん
2007/10/06(土) 19:32:49ID:iTscqPhy俺が作ったショッピングサイト。
ショッピングカートの中身が消えるという現象が起きてる。
タイミングは不明。
商品を10、20個入れても消えない時もあるし、3個で消えた事もある。
セッションが破棄されるタイミングがさっぱりわからないんだ。
0801nobodyさん
2007/10/06(土) 20:18:38ID:???0803nobodyさん
2007/11/17(土) 09:00:33ID:???(現象)
1. ログイン実行、ログイン成功ならばクッキー変数にセッションIDを設定します。
2. しばらくログインしたままで画面を開いていました。
ガベージコレクションが実行されてプログラム内で設定したセッション変数が削除
されました。
3. ログアウトの処理を実行せず、画面を閉じて終了しました。
明示的にsesson_destroy()は実行していません。
4. 再度ログインしました。その後設定されているセッション変数を確認したところ、
上記1.で設定していたセッションIDと同じ値が設定されました。
2.でガベージコレクションが実行されてセッション変数が
削除されたはずなのに、再度ログインすると同じ以前と同じセッションIDとなる
理由がわかりません。
セッションIDはガベージコレクション実行後でも削除されないのでしょうか。
PHPでセッションIDが変更されるのはどのようなタイミングなのでしょうか。
もしかすると私のphpのセッションの仕様理解不足な点があるかもしれません。
わかる方がおりましたら教えてください。
0804803
2007/11/17(土) 09:03:02ID:???× hpのセッション管理について、動作が不明な点があります。
○ phpのセッション管理について、動作が不明な点があります。
0805nobodyさん
2007/11/18(日) 18:06:28ID:???>ガベージコレクションが実行されてプログラム内で設定したセッション変数が削除されました。
何かでちゃんと確認した?ガベージコレクションがセッションを軒並み
削除してしまうなんてことはないはずだけど
0806nobodyさん
2007/11/19(月) 22:42:35ID:???docomoとソフトバンクは上手くセッション管理できてるけどauだけ何故か上手くいかなくて。。
0807nobodyさん
2007/11/19(月) 23:40:56ID:???セッション固定脆弱性と同じ原因でしょ。
この場合はセッションIDが悪意を持つだれかが用意したものではなくて、
クッキーや履歴の一部(クエリ文字列でセッションIDを引き回した場合)に古いセッションIDが残っていて、それが利用されたと考えられる。
この動作には害はないけどセッション固定攻撃されると危険なので対策を施した方がいい。
>>806
auはクッキー使える
0808nobodyさん
2007/12/06(木) 21:19:04ID:NgA5yLDNログインした状態でもう一つタブを作ると、同一セッションになってしまいますよね。
これを回避するブラウザ、もしくは対策はないでしょうか。
(全てのページのURLにセッション名を埋め込むとかは面倒なのでしたくないです)
0809nobodyさん
2007/12/06(木) 22:37:58ID:???0811nobodyさん
2007/12/07(金) 05:11:27ID:???そんな書き込みしてる暇あったら少しはお勉強しなよ僕^^
まずは、日本語のね(笑)
0812nobodyさん
2007/12/07(金) 05:50:16ID:???にもある通り、ctrl+nで開かれた場合を考えると難しいのでは
0813nobodyさん
2007/12/08(土) 07:19:25ID:???0814nobodyさん
2008/03/08(土) 03:14:32ID:???C:\WINDOWS\Temp
ほかの環境は試したことないからわからん
0815nobodyさん
2009/01/29(木) 18:26:11ID:???//ここから
$_SESSION = array();
if (isset($_COOKIE[session_name()])) {
setcookie(session_name(), '', time() - 42000, '/');
}
session_destroy();
echo $_SESSION['abc'];//123
と表示したいのですが何か方法はないのでしょうか?クッキーとか使わずに。
0816よーわからんが
2009/02/15(日) 17:31:56ID:ig6UuNex$_SESSION = array();
の直前に
$temp = $_SESSION;
とかしておいて、最後の
echo $_SESSION['abc'];
の代わりに
echo $temp['abc'];
とかすればよいのでは?
はずしてたらスマソ
0817nobodyさん
2009/03/12(木) 07:13:55ID:???これが、楽天やアマゾンだと
普通の商品ページ→http
しかし、購入後の清算ページ OR 会員登録 OR 会員登録変更などは
全部httpsです。
これって、とりあえずセッションIDを変えてるってことですよね
0818nobodyさん
2009/03/12(木) 13:09:42ID:???2ちゃんで名前欄にコテハン入力するのと同じレベルだぞ
0820nobodyさん
2012/07/20(金) 12:55:54.60ID:???0821nobodyさん
2012/08/06(月) 19:05:05.06ID:???0822nobodyさん
2013/08/06(火) NY:AN:NY.ANID:???方法はあるのでしょうか?
セッション変数をDBに格納したいので独自にハンドラを書きたいのですが、
事情によりスクリプト内でsession_set_save_handler関数は使えないんです。
■ このスレッドは過去ログ倉庫に格納されています