【PHP】下らねぇ質問はID出して書き込みやがれ 113

**nobodyさん** · 2011/11/29(火) 19:55:27.17

質問者はまず>>1を良く読むこと（必須！）
過去スレ、関連スレ、FAQなどは>>2-10辺り
次スレは>>980が立てる。10分以内に立たない場合、宣言してから立てたい人が立てること。

◆前スレ
【PHP】下らねぇ質問はID出して書き込みやがれ 112
http://hibari.2ch.net/test/read.cgi/php/1320005469/

◆質問用テンプレ
【OS名】CentOS
【PHPのバージョン】5.3
【連携ソフトウェア】MySQL ImageMagick
【質問内容】

◆質問する時の注意
・スレを上げて自分のIDを表示させること。（メール欄に何も記述しない。専ブラのsageチェックを外す）
・己の行った操作、変更などを詳しく明記すること。
・エラーメッセージはそのまま表記すること。「エラーが出ます」だけでは回答不可。
・質問者として、態度をわきまえること。
・事前に関連リンクの公式マニュアル、リファレンス本くらいはちゃんと目を通しておくこと。
（PHPで最良の教本はこの公式マニュアル。市販の書籍は嘘が多いので鵜呑みにしない。）

◆質問後の注意
・2回目以降は最初に質問した際のレス番号を入れて、偽者防止に必ずIDを表示させること。
・解決しなくても回答をもらった場合はお礼を言うこと。
　（荒らし、煽りは除く。煽られたときも、無闇に反論せずスルーすること。）

◆回答者への注意
・誰にレスしているのか分からないと困るので、>>(アンカー)をつけて回答すること。

【その他諸注意】
・SQL・正規表現・PEAR・テンプレート(Smarty等)・フレームワークは各該当スレへ

66 · 2011/12/03(土) 17:05:05.70

>>67-71
どうにも難しいみたいですね。
\を\自体と\xの2パターンあるのが難しい理由みたいです。

結局、最初にAAの様なキーを作って
改行→AA1、タブ→AA2・・としました。
もちろん、最初に変換対象の文字にAAは無い事を調べた上で。
全パターンのキーがあってキーの作成が出来なかったら破綻しますけど・・・

**nobodyさん** · 2011/12/03(土) 17:22:33.21

>>82
$string 内にあるアクセント付きアルファベット($diac) を
アクセントの無いアルファベット('AAAAAA～')に strtr して、strtolower してる

**nobodyさん** · 2011/12/03(土) 17:30:37.82

　=&　ってどういう意味ですか？

**nobodyさん** · 2011/12/03(土) 18:18:59.34

>>84
これは自分たちのような日本語を使う場合でも必要な処理でしょうか?
外国だから必要なのかなと思いまして
見たことがなかったので

**nobodyさん** · 2011/12/03(土) 21:52:27.47

phpをfastcgiのように、常に起動させる為のコマンドオプションとか
知っていらっしゃる方がいたら教えてほしいです。

**nobodyさん** · 2011/12/03(土) 21:59:06.19

1024サイズのモニタで作成したＨＰは２７インチワイドとかの
モニタではどのように表示されるのでしょうか？

**nobodyさん** · 2011/12/03(土) 23:36:02.97

>>88
作り方次第。PHP関係ない

>>87
検索して調べられないなら知らなくていいんだと思う。

>>86
いらない

>>85
http://jp2.php.net/manual/ja/language.references.whatdo.php

>>83
えー

66 · 2011/12/03(土) 23:53:42.79

ファイルロックに関してです。
２つのプロセスを走らせて、プロセスAで
$fp=fopen("A.txt","r+");
flock($fp,LOCK_SH);
ftruncate($fp,0);//←ここでファイルサイズが0になる
fseek($fp,0);
fwrite($fp,"あいうえお");
fclose($fp);
と言う処理をusleep(200000);で0.2秒sleepさせながら実行し
もう片方のプロセスBは
$fp=fopen("A.txt","r+");
fgets($fp);
fclose($fp);
という普通のファイル読取処理を0.1秒間隔で実行し、fopenが成功したか、fgetsが成功したかを順次表示させています
clearstatcacheは毎回しています。

プロセスAだけであればあいうえおという文章が書き込まれるのですが
プロセスBを同時に走らせるとプロセスAのfwriteで0が返ってきて書き込みに失敗し、ファイルサイズが0になってしまいます。
この原因も知りたいのですが、ファイルロックについて詳しく知りたいです。

LOCK_SH、LOCK_EXそれぞれの場合、そのロックを行い
別プロセスでfopen、fgets、fclose、filesizeの様なファイルに関係有る処理を行った場合、どうなるのが仕様なのでしょうか。
ロックされているファイルに対してプロセスBでfopenを行った場合、プロセスAでロックが解除されるまでプロセスBは待機されるのかと思ったのですが
そうはなりませんでした。

**nobodyさん** · 2011/12/03(土) 23:54:04.67

名前欄は特に関係ないです

**nobodyさん** · 2011/12/04(日) 00:03:25.67

>>90
http://php.net/manual/ja/function.flock.php
まず、正しい使い方と注意事項読んでね。

でも、いろいろ検索するとこれじゃ駄目だって分かると思うよ。

**nobodyさん** · 2011/12/04(日) 00:59:35.07

PHPで数式を扱いたいのですが、教えて下さい
例えば、簡単な例で言えば高校数学の組み合わせで出てくるコンビネーション（C）等を表すPHP関数はマニュアルを見てもないようです
他にも、Σや微分・積分など（まぁ、微分・積分は自分は必要はないですが）

これらのような方程式などを扱うためのライブラリとか、アルゴリズムの載ったサイトとかありましたら教えていただきたいのですが

ある数式をPHPで・・・と思ったのですが、その最初の数式の方程式の所で分からなくなりまして

**nobodyさん** · 2011/12/04(日) 01:15:52.07

Cなんか、自分で作っても一瞬でしょうに。
ここで聞くなら、その数式を書かなきゃ。

**nobodyさん** · 2011/12/04(日) 01:45:19.41

>>94
同意
必要ななのか、CやらPやらの作り方を書くだけでも答えてくれるかもよ

**nobodyさん** · 2011/12/04(日) 01:48:20.62

>>94
まぁ、コンビネーションなどは確かにすぐではありますが、数式の例がパッと浮かびませんでして上記のようなものを適当に書いてみました
すみません

自分のやりたい数式は統計、分析系でしてΣ、条件付確率を多用します
一からそういった数式のアルゴリズムを学習して、何度の高いものに挑戦しようかと思いまして
ライブラリに関しましても、そのまま利用するよりも中身をハックしようと考えていました

単純ベイズとか、ピアソンの相関係数とかやってみたいと思っています

**nobodyさん** · 2011/12/04(日) 01:50:51.85

>>92
なるほど、flockはflockにのみ影響を与えるのか。
つかめてきました。ありがとう

**nobodyさん** · 2011/12/04(日) 01:56:44.95

>>96
PHPよりCのほうがいろいろ揃ってる気がする

**nobodyさん** · 2011/12/04(日) 02:39:44.21

>>83
単に前からなめてけばいいだろ

**nobodyさん** · 2011/12/04(日) 02:41:43.64

ぺろぺろ

**nobodyさん** · 2011/12/04(日) 03:05:45.07

【OS名】CentOS
【PHPのバージョン】5.2
Digest認証をしてるディレクトリ内にあるPHPスクリプトから、
同じディレクトリ内のページにfile_get_contentsすると失敗する。
file_get_contentsで認証できませんか？

**nobodyさん** · 2011/12/04(日) 11:16:41.58

【OS名】Linux系(詳細不明)
【PHPのバージョン】5.3.5
【連携ソフトウェア】MySQL
【質問内容】
海外サーバ（ローカルタイムは米国西海岸)を使っていて、
MySQLに時刻データ（日本時間）を保存するとき、どの方法がスマートですか？
データ更新時刻を保存します。

1. CURRENT_TIMESTAMPで西海岸時間を保存して、表示で日本時間を作る
2. time()でUNIX時間をINTで保存して、表示で日本時間をつくる
3. 日本時間を作ってDATETIME形式で保存
4. その他

今は3で日本時間を作ってDATETIME形式で保存するように書いてみたのですが、
UNIX時間の方が処理しやすいことが多いかと思います。
DATETIME形式だとSELECTすればそのまま読めるので便利なのは間違いないですが。
皆さんはどのようにしていますか？

**nobodyさん** · 2011/12/04(日) 14:00:17.69

>>102
素直にサーバー内の時間変えたら？

**nobodyさん** · 2011/12/04(日) 14:00:18.40

switch文についてですが、
case 1:
　処理
case 1:
case 2:
　処理
　break;
・・・

の処理で、下の処理を先にしなければならないとき、
case 1:
case 2:
　処理
case 1:
　処理
　break;
・・・

にすると、case2は最後まで条件文をたどることになりますよね？
回避策としては、
case 1:
case 2:
　処理
case 2:
　break;
case 1:
　処理
　break;
・・・

ぐらいしか思い浮かばないのですが、冗長な気もします。
何か良いアドバイスをください。

**nobodyさん** · 2011/12/04(日) 14:04:59.47

>>104
？？？

**nobodyさん** · 2011/12/04(日) 14:26:45.63

>>103
MySQLに接続のたびにタイムゾーンを変更する必要があるので、
変更をし忘れると時刻の整合性がとれず、えらいことになるので
それは避けたいところです。

**nobodyさん** · 2011/12/04(日) 15:25:26.81

Y!ニュースのコメ欄を取得したいです。
↓JSON形式？がうまく変換できません、誰か教えて！

<?php

$url = "http://capi1.cpf.yahoo.co.jp/camp/v1/list/?prop=1&uri=http%3A%2F%2Fheadlines.yahoo.co.jp%2Fhl%3Fa%3D20111203-00000051-jij-soci";
$file = file_get_contents($url);
echo json_decode($file);

?>

**nobodyさん** · 2011/12/04(日) 15:30:49.25

JSONPみたいだから
先頭の「listhandler(」と末尾の「)」を削ってからjson_decode()に渡してみては？

**nobodyさん** · 2011/12/04(日) 16:16:27.90

>>108　できました！ありがとうございます＾＾

**nobodyさん** · 2011/12/04(日) 16:20:58.73

PDOでの接続に日本語を含むパスは使えませんか。
オープンできないんですが。Windowsです。

**nobodyさん** · 2011/12/04(日) 16:24:32.79

こんなのみつけました。読み込み方法はありますか。

ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)
PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生します。
http://www.tokumaru.org/d/20100701.html

phpファイルはUTF-8で保存して、設置パスに日本語が含まれないように注意(DBファイルが開けない)。
http://www.tumblr.com/tagged/pdo?before=1321315724

**nobodyさん** · 2011/12/04(日) 16:47:23.36

>>111
1個目は関係ないよ

**nobodyさん** · 2011/12/04(日) 17:12:55.32

>>102
TIMESTAMPもDATEも現地時間で保存なんかしない
タイムゾーンを設定するのはクライアント側の仕事
接続する度に SET time_zone = '+9:00'; なり発行しなさい

**104** · 2011/12/04(日) 17:17:45.05

PHPだけの話じゃないので他で聞いてきます
スレ汚しすみません

**nobodyさん** · 2011/12/04(日) 18:07:39.98

>>114
いや、ここでもいいんだけど、何がしたいかがわからん

**nobodyさん** · 2011/12/04(日) 18:09:00.78

各処理に処理A、処理Bとか書いてないからわけわからんね

**nobodyさん** · 2011/12/04(日) 22:01:35.78

ほんと読解力ないな。

case 1:
　処理A
　処理B
　break;
case 2:
　処理A
　break;

を無理やりフォールスルーで何とかしたいって話だろ。
アドバイスとしては「やめてください」。

**nobodyさん** · 2011/12/04(日) 22:02:39.93

やめてくださいで終わりだけどさ。
部下がこれどうしますって言ってきたらやめろで終わりだけどさ。

**nobodyさん** · 2011/12/04(日) 22:46:22.38

処理をfunction化するか、switch文を分割するか、が妥当な方法だと思うけど
既存のコードをあまり変えたくないなら>>104でもいいんでないの

**nobodyさん** · 2011/12/05(月) 01:33:15.00

>>114
【MySQL】下らねぇ質問はID出して書き込みやがれ 2
http://hibari.2ch.net/test/read.cgi/db/1322402682/

DB板にココをパクッたのがあったｗｗｗ

**nobodyさん** · 2011/12/05(月) 02:49:55.96

http://hibari.2ch.net/test/read.cgi/tech/1322981274/10-

**nobodyさん** · 2011/12/05(月) 03:36:31.20

相手にされてなくてﾜﾛﾀ

**nobodyさん** · 2011/12/05(月) 04:13:37.79

クラスに存在しないメソッドを呼び出された時の処理ですが、$this->obj->{$name}の引数を決め打ちにしてます。
これをエレガントにする方法ってありますか？

function __call( $name, $arguments ) {
if( method_exists( $this->obj, $name ) ){
return $this->obj->{$name}( @$arguments[0], @$arguments[1], @$arguments[2], @$arguments[3], @$arguments[4]);
}else{
parent::__call( $name, $arguments );
}
}

**nobodyさん** · 2011/12/05(月) 05:20:52.70

>>123
呼び出すときにそのobjがどんなメソッドと引数を持っているか
推測しないといけない設計はあまり好まず…そこは素直にクラス作りんしゃいに一票。

**nobodyさん** · 2011/12/05(月) 05:52:43.56

質問です。
ネット上のオセロの対戦サイトっぽいの作ろうと思っています。
そこで、通信のやり方が分かりません。
不特定多数の人がそのサイトにログインするまではいいのですが、対戦は１対１なので、
対戦が始まったらその二人の間でのみ通信が行われないといけないのですが、
そのような通信は一体どうやればいいのでしょうか？
オセロのプログラム、描画はJavaScriptで書いています。

**nobodyさん** · 2011/12/05(月) 06:04:21.68

対戦が始まってもサーバーのphp介さないとできないよ

**nobodyさん** · 2011/12/05(月) 06:08:30.42

PDOプリペアドステートメントについて質問です。

ソートに使用するorder byやdescやascを、
バインドしてもうまく働きません。

$sort_by = "hoge"; //実際は外部から取る値
$is_desc = true; //外部から指定

$stmt=$dbh->prepare("select * from t where 1 order by :sort :which");
$stmt->bindValue(":sort", $sort_by);
if ($is_desc) {
　$stmt->bindValue(":which", "desc");
} else {
　$stmt->bindValue(":which", "asc");
}
$stmt->execute();

これは内部で
select * from t where 1 order by hoge desc
ではなく、
select * from t where 1 order by "hoge" "desc"
となってるからなのは分かるのですが、
こういうケースの場合はどうしたらいいのでしょうか？

よろしくお願いします。

**nobodyさん** · 2011/12/05(月) 06:10:49.64

>>126
はい、そこで、PHPで、どうやって対局者二人にだけ通信処理を行うようにするのか
知りたいのです。

**nobodyさん** · 2011/12/05(月) 06:25:04.96

対戦中の2人が数秒置きにリクエストを送ってサーバに問い合わせる
サーバは送られてきたクッキーとセッションを照合しながら二人を追う
現在のゲームの進行状況をクライアント（2人）に返す
返した結果によってクライアント画面に反映する
この繰り返し

片方側からのリクエストが途絶えて
片方からのリクエストを3回連続で受け取った場合
もう片方はゲームを途中でやめた判定する

いわゆるポーリングという技法
実装が簡単だがよりリアルタイムに近づけるにはインターバルを1秒未満にしなくてはならず
ゲーム中はF5アタックをしてるようなものなのでレンタルサーバではやってはいけない

**nobodyさん** · 2011/12/05(月) 06:39:35.66

>>129
成る程、分かりやすいです。
送られてくるクッキーとセッションで送信者が識別できるのなら実現できそうです。
やっぱりいろいろと問題もあって、難しそうですね。
レンタルサーバーでもやり方次第でなんとかなると思ったので、いろいろ試して
みようと思います。
とにかく簡単なプロトタイプを作って動かすまではやってみます。

**127** · 2011/12/05(月) 07:25:44.75

order by句を指定せずソートをプログラム側で行うか、
プリペアドステートメントは使わず、PDO::query()+PDO::quote()で行うしかないんでしょうか？
なんかベストな解決方法を知っていたらお願いします。

**nobodyさん** · 2011/12/05(月) 13:11:31.92

>>123
call_user_func_array(array($this->obj, $name), $arguments);

>>131
ORDER BY句は自力で組み立てて
そっから PDO#prepare() に渡す
ちなみにバインドできるのはリテラル値だけ

**nobodyさん** · 2011/12/05(月) 14:23:18.46

>>132
http://stackoverflow.com/questions/8343399/calling-a-function-with-explicit-parameters-vs-call-user-func-array

横からだけど
引数が５つ以上になると call_user_func_array のほうが早くなるんだな…
それより短い場合は短ければ短いほど不利で
引数が一つだけ取るようなケースだと、二倍くらい遅くなると。勉強になりました感謝。

**nobodyさん** · 2011/12/05(月) 16:17:45.57

質問させてください！
まずはソースを貼ります。
$_query =
"select F.seq_user, U.seq, COUNT(F.seq_user) AS total
FROM tbFavorites AS F
LEFT JOIN tbUser AS U ON F.seq_user = U.seq
　　　 group by F.seq_user
order by total desc limit 25";
if ($result = $mysqli->query($_query)) {
if ($result->num_rows > 0) {
$userranking = array();
while ($row = $result->fetch_array(MYSQLI_ASSOC)) {
$userranking[] = $row;
}
$result->close();
}
}
for($i=0;$i<25; $i++){
$_query =
"select COUNT(F.seq_user) AS total
FROM tbFavorites2 AS F
WHERE F.seq_user = ".$userranking[$i]['seq']."
limit 1";
if ($result = $mysqli->query($_query)) {
if ($result->num_rows > 0) {
$row = $result->fetch_array(MYSQLI_ASSOC);
$userranking[$i]['total']= $userranking[$i]['total'] + $row['total'];
$result->close();
}
}
}
$smarty->assign('userranking', $userranking);

**nobodyさん** · 2011/12/05(月) 16:24:09.16

１３４のソースの解説です。
tbFavorites(商品ジャンルA)、tbFavorites2(商品ジャンルB)はユーザが二つの種類の商品をお気に入り
に登録するためのtableです。

今どのユーザがたくさんお気に入り登録したかをランキング形式で出そうとしています。
しかし134のソースではジャンルAでまずランキング上位25人を出してしまっています。

本当ならジャンルAとジャンルBの合計値を出したあとに上位25人を出したいのですが
うまいやり方が思いつきません。どなたかお知恵をお貸しください。

**nobodyさん** · 2011/12/05(月) 16:54:20.79

合計値で25件とれるSQLにするか、
全件とって自分でがんばるかどっちか

**nobodyさん** · 2011/12/05(月) 16:56:30.82

合計値で２５件とれるSQLを作りたいのですが
うまくいきません。JOINとUNIONで試してみたのですが
全然期待通りの値にならないのです。。。

**nobodyさん** · 2011/12/05(月) 17:43:15.14

UNIONしたやつをGROUP BYでどう？
テーブル構造は？
DB板のが答え速そうだな

**nobodyさん** · 2011/12/05(月) 18:24:42.35

>>134
UNIONでできなかったってのが、UNION ALLでダメだったのかどうかにもよるけど。

select count(seq_user) as total from (
select seq_user from tbFavorites
union all
select seq_user from tbFavorites2
)
group by seq_user
order by total desc limit 25

あと、tbUserと結合する意味がなさそう。

**nobodyさん** · 2011/12/05(月) 18:25:52.85

って、ユーザ情報出したいからか。ごめんごめん。

**nobodyさん** · 2011/12/05(月) 19:07:21.50

phpで外部リソースを取得する関数って
セキュリティ的に問題ないんですか？負荷も掛かるだろうし。

**nobodyさん** · 2011/12/05(月) 19:08:59.07

スクレイピング全般に対する懸念？

**nobodyさん** · 2011/12/05(月) 21:33:08.80

踏み台にされんように注意はせんとね

**nobodyさん** · 2011/12/05(月) 21:48:37.75

PHPってR言語対応のモジュールとかライブラリ、関数とかありますでしょうか？
マニュアル見たところ無いようなのですが
statsは全然まとめられていないながらも、あるようですが

**nobodyさん** · 2011/12/05(月) 23:53:12.26

たまに￥マークがついてるコードみるけど
￥マークはどういう時に使うのでしょうか？

例
class Model_Crud extends \Model implements \Iterator

**nobodyさん** · 2011/12/05(月) 23:56:49.45

>>145
スレタイを声に出して読みましょう

**nobodyさん** · 2011/12/06(火) 00:12:06.88

志村～

**nobodyさん** · 2011/12/06(火) 00:23:22.19

http://www.php.net/manual/ja/language.namespaces.faq.php

**nobodyさん** · 2011/12/06(火) 00:29:20.77

>>148
ありがとうございます。

**nobodyさん** · 2011/12/06(火) 12:02:11.48

質問させてください
携帯で、あるページにアクセスした時、その携帯のメーラーを立ち上げることってできるでしょうか？
どうやったらいいでしょうか
PHP5を使っています

**nobodyさん** · 2011/12/06(火) 12:02:28.57

>>138,139
ありがとうございます。おかげさまでできました。
お礼が遅くなりました＞＜
原因はgroup byがちゃんと使えてませんでした。

**nobodyさん** · 2011/12/06(火) 12:51:16.74

>>150
メアド踏めばそうなるけど、そういうことじゃなくて？

**nobodyさん** · 2011/12/06(火) 13:09:00.01

mailtoストームみたいなことやりたいんじゃね

**150** · 2011/12/06(火) 13:09:11.32

>>152
レスどうもです。そういうことではないんですよ
１）リンクを踏む
２）ページAに遷移してDB処理、終わったらページBにリダイレクト
３）ページBに移動したら自動的にメーラーが立ち上がる
というのをイメージしています

ページBにリダイレクトしなくても、ページAでのDB処理が終わったあとに
何らかの方法でメーラ起動できればそれでいいんですが…
header関数とかの問題かなと思ったんですが、ヒントが見つからない状況です

**150** · 2011/12/06(火) 13:10:07.14

>>153
そんなことやりませんよｗ

**nobodyさん** · 2011/12/06(火) 13:32:46.53

>>154
header('Location: mailto:test@example.com');

**nobodyさん** · 2011/12/06(火) 13:38:57.60

やったことないけど、メアドに302するとどうなんの

**nobodyさん** · 2011/12/06(火) 13:39:18.56

って同じことがかかれてたｗ

**nobodyさん** · 2011/12/06(火) 13:56:53.94

普通にリンクなりボタンなりをクリックさせた方がいいんじゃないの？
メーラーが勝手に開くのは怖いしウザい

**nobodyさん** · 2011/12/06(火) 14:10:13.41

気持ち悪がられて客を逃す
避けるべき実装

**nobodyさん** · 2011/12/06(火) 14:12:49.28

>>159
メーラーが勝手に開くリンクからメール送ったことってほとんどないな。

**150** · 2011/12/06(火) 14:19:00.41

>>156
こんな簡単なんですか
すみませんでした、試してみます。ありがとうございました

>>159-161
ご意見どうもです
説明不足でしたが>>154の「1）リンクを踏む」のリンクに「メールを送る」と書くつもりです
多分大丈夫かと…
ありがとうございました

**nobodyさん** · 2011/12/06(火) 15:06:42.60

>>161
携帯だと空メ登録よくあるからいいんでないの

**nobodyさん** · 2011/12/06(火) 16:56:44.79

>>162
gmail しか使ってなかったり linux のクライアントだとメーラー設定してなかったり
あるのでテキスト直書きで、テキスト@hoge.com 件名は○○○で送ってください
とか併記しておいて欲しいと思う吉宗であった…

**nobodyさん** · 2011/12/06(火) 20:56:46.07

フォームにデータを入力すると画面が切り替わるようなサイトで、
URLはhoge.phpのまま変わらないというのがありますが、
これはPOSTメソッドで同じURLにPOSTして、ifなどで条件分岐して
表示を変えているんでしょうか？

この手法は一般的ですか？
トークンによるCSRF対策も問題なく動作しますか？

**nobodyさん** · 2011/12/06(火) 20:58:56.71

>>165
問題ないよ

**nobodyさん** · 2011/12/06(火) 21:00:57.91

>>166
ありがとうございました。

cart1.php
　↓
cart2.php
　↓
cart3.php
とか書いていたのですが、ダサイので書き直します。

**nobodyさん** · 2011/12/06(火) 22:44:11.20

【OS名】CentOS
【PHPのバージョン】5.3

お世話になります。セッションについて勉強中です。

[A]というサイト上にあるログイン用のプログラムで
session_name(セッション名);
セッション名を設定した上でセッション利用
cookieにはランダム文字列のセッションIDが記録されます。

このあと、全く別サーバー・別ドメイン上にあるPHPで
echo $_COOKIE["セッション名"];
と書いてアクセスすると
[A]サイトのセッションID（ランダム文字列）が丸見えになっています。

１．悪意のある人が$_COOKIE["セッション名"];でセッションIDを抜き出す
２．偽装した上ですぐさま[A]サイトにアクセス
３．ログイン状態

となってしまうのではと想像しているのですが
何か良い対策は無いでしょうか？

セッションに対する自分の認識自体が間違っていたら面目ございません。

**nobodyさん** · 2011/12/06(火) 23:16:25.33

>>168
セッション名とセッションのキーを混同してないか

**nobodyさん** · 2011/12/06(火) 23:28:44.00

>>168
BサイトにAサイトのクッキーを差し出すUAがいるってことか

**nobodyさん** · 2011/12/07(水) 14:57:17.18

>>168
とりあえず、青木ヶ原かどこかへ行った方が良い
ここでは君のような池沼は扱っていない

**nobodyさん** · 2011/12/07(水) 14:57:42.29

そうなってませんで終わりだろが。

**nobodyさん** · 2011/12/07(水) 16:15:10.80

ブラウザを閉じたらセッションは終了すると聞きました。
その場合、端末側のcookieは自動的に削除されますか？

端末側から一定時間操作をしないとセッションが終了しましたと
表示されるサイトがありますが、これはどのようなコードを
書いているのでしょうか？

セッションスタート時に、その時刻をセッション変数に記録する
次のセッションスタート時に、前回記録した時刻と現在時刻を比較して
一定以上経過していると、ログインページに案内する
こういう仕組みでいいのでしょうか。

それともsession.gc_maxlifetimeをいじればいいのでしょうか。

**nobodyさん** · 2011/12/07(水) 16:27:58.44

ブラウザを閉じたらセッションが終了するわけではありません。閉じようがずっと続くようにも出来ます。

セッションは、時間で消され　たり　します。
session.gc_maxlifetime　などが関係ありそうです。

また、それとは別にセッション時間を記録するのも、それでなにをしようと自由です。
そのときは、セッションを自分で消さなくちゃいけません。

**nobodyさん** · 2011/12/07(水) 16:40:10.05

>>174
>閉じようがずっと続くようにも出来ます。
逆に、ブラウザを閉じたらセッション終了するにはどうすればいいでしょうか。

**nobodyさん** · 2011/12/07(水) 16:42:40.64

>>175
ブラウザを閉じたことをサーバ側が知ることはできません

**173** · 2011/12/07(水) 16:49:16.54

>>176
ということは、
セッションが開始されると端末側にcookieができる（許可する場合）
サーバ側はそのcookieでセッションが継続していると判断する
ブラウザを閉じても、cookieがあって、セッションの有効期間中なら
セッションは継続される
ということですか？

別件ですが、セッションIDをURLに埋め込む場合、
どのようなセキュリティ対策が必要ですか？

1. http→httpsに移行するときにセッションIDを変更する
2. セッションIDが無効なときは、トップに転送
を考えていますが、セッションIDが無効かどうかはどのように判断できますか？

**nobodyさん** · 2011/12/07(水) 16:53:00.73

cookieでセッションが継続していると判断するというのが若干違うのかなぁ。
セッションを継続したり保持してるのはサーバーで
cookieに入れるのはその名前というかキーだな。　cookieがあったとしても
セッションがあるかどうかは別。

**nobodyさん** · 2011/12/07(水) 17:01:38.88

>>177
そのセッションIDつきのURLをほかの人が使ったときに、セッションの乗っ取りができないようにする対策が必要です

**173** · 2011/12/07(水) 17:16:59.06

>>178-179
ありがとうございます。

たとえば、
アリスがセッション 111 をスタート
セッション111は失効または手続完了でdestroyされる
あとで、アリスまたはボブがセッション111をスタートしても、
前回の続きを表示せず、別の正当なセッションID 123 を発行する。

チャーリーが存在しないセッション 222 を指定したときは、
そのIDを無効として受け付けず、代わりに正当なセッションID 234 を
発行する。

このようなことができればいいと思っています。

**nobodyさん** · 2011/12/07(水) 17:19:13.21

>>180
上と下は同じこと言ってるの分かる？

**173** · 2011/12/07(水) 17:21:57.43

>>181
セッション111がガーベージコレクトされていなければ、
サーバ側にまだ情報は残っているので、セッション111を
指定すれば取り出すことはできないですか？

そういう意味で最初から存在しないものと区別したつもりだったのですが。