Session管理してる？

**名無しさん＠お腹いっぱい。** · 2001/05/23(水) 23:24

PHP3だとSession使えないから、id&passをhiddenで吐き出している。
DBで一意のsessionidを作ってやりゃーいいんだけどExpireとか
めんどくさい。

ASPやPHP4ならSession管理楽だよね。

**名無しさん＠お腹いっぱい。** · 2001/05/23(水) 23:32

クッキーですれば？

**名無しさん＠お腹いっぱい。** · 2001/05/24(木) 01:17

厨房質問でごめんなさい。

>ASPやPHP4ならSession管理楽だよね。
ASPやPHP4が、自分に代わってhiddenのパラメータなり(POSTの場合)、
GETパラメータなりを管理してくれてるのでしょうか？
tcp/ipの接続を持続してるとか、勝手にクッキー使ってるってわけでは
ないと思うのだけど、どうやってSessionを実装しているのかなあ、と疑問
に思ったので。

**名無しさん＠お腹いっぱい。** · 2001/05/24(木) 10:42

>>3
ASPはcookie投げてるという話を聞いたなあ。
僕はperl + Apahce::Session with cookie ばっかだから知らないけど。

**ナナシファン** · 2001/05/24(木) 10:55

>>3
デフォルトで勝手にクッキーを使うよ。クッキーを使えない端末の
ときは、configureの時に--enable-trans-sidしてあれば
全部のリンクにsession idをつけてくれる。
ただ、<a href=だとつくんだけど<a taskだとだめなんだよなぁ～
というわけでHDMLの場合は自分でつける必要アリ

**俺もナナシファンだったり** · 2001/05/24(木) 12:10

>>4
Apache::Sessionってどうよ？
セッションのガベージコレクションの機能とかないんじゃなかったっけ？
俺は1リクエスト毎にデータベースに書きに行くのがすごくうざくって、
ちょっと触っただけでやめちゃったけれど・・・

3 · 2001/05/24(木) 15:32

Session管理は結局どれも内部でクッキーかGET(orPOST)パラメータですか。
そりゃそれ以外ないよな。

あとは携帯電話の固体IDだけど、503iから使えるようになった奴ですが、
210iではどうだろう？

**4じゃないけど** · 2001/05/24(木) 20:26

>>6
セッションタイムアウトは自動でやってくれないね。
タイムスタンプのフィールド用意しておいて、cronで削除が一般的かな。
mod_perl下で使えば、かなり使えると思う。

4 · 2001/05/25(金) 03:05

>>8
言う事なくなっちゃった（笑）
そういや、mod_perlのスレないね...。ま、perl板でも繁盛してなかったけど。

>>7
あと、URLにセッションIDを埋め込む方式があるね。
携帯とPCを両用したいときとかによくつかってます。

3 · 2001/05/25(金) 11:07

>あと、URLにセッションIDを埋め込む方式があるね。
>携帯とPCを両用したいときとかによくつかってます。

PATH_INFOですか？
それもGETパラメータ(URL)の一種だとは思いますが、
QUERY_STRINGと比べて特に携帯だからPATH_INFOを使う
意味も無いような、、、
逆にPATH_INFOでも使う分には同じなのでどちらでもいいし、
QUERY_STRINGやPOSTパラメータはシステムによっては
自動的に解析される部分に入ってしまうだろうから、それらの
仕組みとぶつからないというメリットかな？

**名無しさん＠お腹いっぱい。** · 2001/05/25(金) 14:35

PHP4セッション管理の詳しく説明してる
サイトってありますかねー？

**名無しさん＠お腹いっぱい。** · 2001/05/25(金) 18:47

てかセッションってなんですか？

**電動ナナシ** · 2001/05/26(土) 00:03

>>11-12
ここ見たら？
http://www.itboost.co.jp/php/php_12.php
http://www.phpbuilder.com/columns/ying20000602.php3?print_mode=1

**ナナシファン** · 2001/05/29(火) 12:40

>>13
うぉぉぉ！まさにコレ！
http://www.phpbuilder.com/columns/ying20000602.php3?print_mode=1

MySQLでセッション管理したかったんだよねーー！！ロードバランサは
（いいものになると）結構お値段が張るので、TurboLinux ClusterServer
とかを使ってWWWのクラスタリングをしたかったんだけど、セッションを
どーしよーかと途方に暮れてたところでした！
電動ナナシさん、ｻﾝｸｽ!これからも有益な情報をお願いしますです！

**名無しさん＠お腹いっぱい。** · 2001/05/29(火) 18:09

セッション管理はPostgresでは難しいのかー？
MySQLの方がいいのかな？

**名無しさん＠お腹いっぱい。** · 2001/05/29(火) 18:57

>>10
PATH_INFOじゃなくても、mod_rewriteで
ごにょごにょやる手もあるよ。環境変数として渡したり。

**名無しさん＠お腹いっぱい。** · 2001/05/30(水) 10:48

>>15
webのセッション管理にDBMSって関係有る？
PHPのインターフェースの部分が、DBMSによってセッション管理が
用意されている/いないの差があるということかな？
おれはPHPでないので知りませんが。

**電動ナナシ** · 2001/05/30(水) 15:13

セッション管理は頻繁に発生する、トランザクションのような一貫性保証は
不要、ということで、PostgreSQL のような重装備の RDBMS よりも MySQL の
ような軽くて高速なデータベースが向いているということでしょ。

すでに PostgreSQL があってそれを使いたいということなら、別にそれでも
いいでしょ。セッションハンドラは別途書かないといけないというのはどの
RDBMS でも一緒。

**名無しさん＠お腹いっぱい。** · 2001/05/31(木) 12:55

セッション管理ってなんで必要なの？

**名無しさん＠お腹いっぱい。** · 2001/05/31(木) 19:37

>>19
衝撃の質問！

**名無しさん＠お腹いっぱい。** · 2001/06/01(金) 10:08

PHPLIB+MySQL+PHP3.0.9でセッション管理してます。ただ、レンタル
サーバーなんで都度requireしなければいけないのですが...
しかし、国際版PHPじゃないのがつらすぎる。Perl+DBIのほうが開発早かった
かもしれんッス

**電動ナナシ** · 2001/06/01(金) 17:50

>>19
常に必要ってわけじゃない。
Web ページ間で変数を引き渡す手段が必要なときに有用ってだけ。

>>20
3.0.9 って思いっきりセキュリティホールがあるじゃん。
バージョンあげてもらうついでに国際化版にしてもらおう。
それが無理なら Perl を使ったほうがマジでいいぞ。

**名無しさん＠お腹いっぱい。** · 2001/06/11(月) 11:59

ちょっと質問。
よくユーザ登録のページで情報を入力しsubmitして
確認画面がでますよね。でソースを見ると入力内容をHidden
で渡してるものもあれば、Hiddenを使用していないものもあります。
Hiddenを使用せず渡すのは、s_id見たいなものを
をキーにして入力内容をDBに毎回insertしてページ間でデータが
渡っているのでしょうか？それとも別の方法があるんですかね？
疑問だったので・・・。

**sage** · 2001/06/11(月) 12:12

>>23 cookie

**sage** · 2001/06/11(月) 12:11

>>23 cookie

**名無しさん＠お腹いっぱい。** · 2001/06/11(月) 12:44

またはipを基に一時ファイル作成とか…。
まぁ普通はCookieだと思うが

**名無しさん＠お腹いっぱい。** · 2001/06/12(火) 12:44

cookieに依存すると、専用端末や携帯電話やcookie offに対応することに
なったときに面倒っすよ。趣味でPCだけ相手にしているときにはいいけど。

**名無しさん＠お腹いっぱい。** · 2001/06/12(火) 13:16

>>27
ソース見てhiddenがないのはどうなってるのかって聞いたから例としてcookie
と言ったまで。

そりゃ状況によって方法は変えますよ、わたしゃ。

**名無しさん＠お腹いっぱい。** · 2001/06/22(金) 12:49

age

**殿堂ナナシ** · 2001/06/22(金) 22:26

>>23
Servlet ではセッションはサーバのメモリに保持する。
ファイルやDBはオーバーヘッドがあるのであまりないね～。
PHP4 はファイルですよね（よく分からんけど）

>>24
クッキーに情報自体を保持するのは、一般的？に
セッション管理とは言いにくいような。。。
# セッションIDは別

**名無しさん＠お腹いっぱい。** · 2001/06/22(金) 22:34

>>30

セッション終了時に消えるクッキーをセッションクッキーって
言うの知らないの？

**殿堂ナナシ** · 2001/06/22(金) 23:21

>>31
怒ってる～？
そうだね。レスポンスヘッダに設定する有効期限を無しに
すればセッションが続く限りクライアントが情報を保持するよね。

んで、そのセッションクッキーってのを使うと
セッション管理してるということになるの？
hidden と同じでクライアントに投げたら投げっぱなしなので
管理とは言いがたいような気がします～。

毎回切断される HTTP で継続して情報を保持するために
サーバでランダムな ID を発行し、それをキーにクライアントと
やりとりを行う。
それをセッション管理と言う。

**名無しさん＠お腹いっぱい。** · 2001/06/23(土) 03:44

>>32
そのやり取りって、クッキー使ってんじゃないの?

**名無しさん＠お腹いっぱい。** · 2001/06/23(土) 13:09

どっちにしてもcookie使わない方法はないと思うが。
もちろん、擬似的なセッション維持だとは思うけど。
データをどこにもつかって事だと思うけど、
cokkieはドメイン毎に4Kまでの制限があるから、
ふつうサーバーでデータは保持する。

**殿堂ナナシ** · 2001/06/23(土) 22:56

クッキーだけでなく、サーバで発行したランダムなIDは次の
いづれかでやりとりされる。

・クッキー
・get リクエスト
・put リクエスト

このIDを普通はセッションIDっていうよね。
最近の Java や PHP では意識はしなくてもいいけど。

**名無しさん＠お腹いっぱい。** · 2001/06/24(日) 08:45

＞・クッキー
＞・get リクエスト
＞・put リクエスト

結局hidden以外はcookieじゃん。

**名無しさん＠おへそいっぱい。** · 2001/06/24(日) 12:09

URL Rewrite を忘れてる。<A HREF="/a/b/c;98A30x7"> みたい
なの。現行のステートマネージメントは

　・Cookie の受け渡し
　・HIDDEN フィールド
　・URL Rewrite

で行われている (Servet の話だけど)。
ちなみにセッション ID がランダムに振られるシステムは設計が
おかしい。

**殿堂ナナシ** · 2001/06/24(日) 21:36

間違えた。。。 put は post です。。。

・クッキー <- Cookie の受け渡し
・post リクエスト <- HIDDEN フィールド
・get リクエスト <- URL Rewrite
私の表現がおかしい～？

URL Rewrite はクッキーが使えないときにAP サーバが
セッションIDを URL に Rewrite するっていうものだよね。
最近、セキュリティ的に問題があるので使ってはいけないというのが
良く言われてるけど。

セッションIDがランダムに振られるのがおかしいというのはなぜ～？
最近はAPサーバにセッション管理が実装されてるから
あまり意識してないもので。。。
一意性の問題？

**名無しさん＠おへそいっぱい。** · 2001/06/25(月) 00:25

そう、一意性の問題。普通はシーケンシャルに採番して一意性を
維持したままシャッフルすると思われる。ちょっと揚げ足を取っ
てみただけ。

現行のステートマネージメントメカニズムは、どの方法も SSL と
組み合わせないとセキュリティ的に問題ありだね。というか
そんなの Web の常識だったはずなのに、なぜ突然ひろみちゅが
騒ぎ始めたのか分からんよ。

URL Rewrite/HIDDEN フィールド
　ソースを見れば一目瞭然。URL 欄にも表示される。ジャンプ先
　サイトでは Referer ヘッダで参照可能 (ブラウザの種類と
　バージョンにもよる)。自サイトを SSL 化しても Referer
　ヘッダは漏れてしまうかも (なりすまし接続は無理だろうが)。

Cookie
　丸見えでない分 URL Rewrite/HIDDEN フィールドよりまし
　だが平文であることには変わりない。プロキシサーバなら
　余裕で盗める。期限付きのはファイルで残る。

# 昔、クライアント側の IP アドレスを使ってセッション ID
# にハッシュかければセキュリティもバッチリでは? と発明
# しかけたが、程なくプロキシの存在を忘れているのに気づ
# いた。

**名無しさん＠お腹いっぱい。** · 2001/06/25(月) 15:58

>>30
クライアント側のクッキーにはIDのみで、
セッション情報はサーバ側に保存されるので
セキュリティ的には問題ない
と、どっかで読んだ覚えがあるんですが。

40 · 2001/06/25(月) 15:59

>>30は>>39の間違いでした。

**名無しさん＠おへそいっぱい。** · 2001/06/26(火) 10:43

セッション ID を盗まれると言うことは、意味的にサーバサイドの
セッション情報ごと盗まれるのと等しい。ただ、情報が丸見えでは
なく、どのような情報か想像しずらいという人間的な利点があるだけ。
ユーザ認証後のセッション ID を盗まれたら、アプリケーションを
乗っ取られたのと事実上同じ。セキュリティを確保したければ SSL
と併用せれ。

**名無しさん＠おへそいっぱい。** · 2001/06/26(火) 10:45

セッション ID を盗まれると言うことは、意味的にサーバサイドの
セッション情報ごと盗まれるのと等しい。ただ、情報が丸見えでは
なく、どのような情報か想像しずらいという人間的な利点があるだけ。
ユーザ認証後のセッション ID を盗まれたら、アプリケーションを
乗っ取られたのと事実上同じ。セキュリティを確保したければ SSL
と併用せれ。

**名無しさん＠お腹いっぱい。** · 2001/06/26(火) 15:40

>43
ID+有効期限を暗号化して発行すれば、
多少マシになる。

**名無しさん＠おへそいっぱい。** · 2001/06/26(火) 17:27

>>44 その暗号化のキーは?

**名無しさん＠おへそいっぱい。** · 2001/06/26(火) 17:28

>>44 その暗号化のキーは?

**名無しさん＠お腹いっぱい。** · 2001/06/26(火) 23:59

>46
なんでもいいじゃない？
暗号化も複合化もサーバーでやるんだから
実際にやってるけど、SIDとログインタイムをある形式にフォーマットして
BASE64で暗号化して発行。クライアントから返されるSIDは形式のチェックで先ずはじく。
仮に、クッキー盗まれても有効期限内しか使えないし、
まあ、解読も可能だろうけど、一定期間でキーやアルゴリズム変えれば、
それなりに実用的だと思う。
なんか間違ってる？

**名無しさん＠お腹いっぱい。** · 2001/06/27(水) 00:07

Crypt::Blowfishで暗号化でした
つくったのはおいらでないので間違ってるかも

**名無しさん＠おへそいっぱい。** · 2001/06/27(水) 00:52

いくら強力な暗号化アルゴリズムを使っても、キーがサーバ側に
あったら意味ないでしょ。盗んだ側にとっては ID が暗号化され
ているかどうかなんて関係なく、盗んだ Cookie をそのまま送り
返せばよいのだから (だから >>39 でクライアント側の IP ア
ドレスをキーにハッシュかけようとした)。

あ、俺が考えてるのは中継サーバ等で Cookie が盗まれた場合ね。
総当りでのセッション ID 盗難防止という話だったら暗号化だけで
効果は高い。んーでも総当りなんて目立つ方法で盗もうとする莫迦
いるか? だから、わざわざセッション ID を暗号化してもたいした
効果がないと思っただけ。

**名無しさん＠おへそいっぱい。** · 2001/06/27(水) 01:02

すまん、ハッシュではなく可逆符号化だ…。

**名無しさん＠お腹いっぱい。** · 2001/06/27(水) 02:33

間にProxyが入ろうがどうしようが
クライアント固有の識別ID(macアドレスとか)を
簡単に取れる手段があるといいんですがねえ。
プライバシー的には問題おおありですが。
そういうの、MSならやってくれ・・・ないか。さすがに。

**名無しさん＠お腹いっぱい。** · 2001/06/27(水) 16:30

proxyの問題を考えなければ簡単なんだけどね＞セッションID盗難対策

503iのような、固体識別番号取得タグをどのブラウザも実装してくれれば
話は簡単だけれども。
確認が入るのでプライバシー的な問題も無いと思うし、MSさん実装して
くれまいか。

**名無しさん＠お腹いっぱい。** · 2001/07/02(月) 04:53

ＳＳＬ使え

**名無しさん＠お腹いっぱい。** · 2001/07/02(月) 21:19

だめ。SSLで守れたと思っちゃだめ。はー
いま(さらながらに)騒がれてるやつあるよね。
あれは相当驚異だよ。たぶん完全に防げてるサイトなんて数えるほど。

**名無しさん＠お腹いっぱい。** · 2001/07/02(月) 22:08

まじっすか? それって何?

**名無しさん** · 2001/07/02(月) 22:14

DoCoMoがNULLDOCOMOGW(だっけ?)を一般ユーザーに開放してくれればいいのに…

**名無しさん＠お腹いっぱい。** · 2001/07/02(月) 22:19

>>55
おれは54じゃないけど
クレジットカード情報がサーバ上ではまるみえで、
ブラウザのURL直打ちで見れちゃったというニュースなら読んだ。
http://hwj-www.hotwired.co.jp/news/news/business/story/20010625102.html

**名無しさん＠お腹いっぱい。** · 2001/07/03(火) 04:13

>>54 SSL とサイトへの侵入とがごっちゃになってないか?
それとも SSL のポートを使って侵入 or 成りすましという話か?

**名無しさん＠お腹いっぱい。** · 2001/07/03(火) 09:04

Cookieは楽々盗めるって話。進入は無関係だけど…

**名無しさん＠お腹いっぱい。** · 2001/07/03(火) 09:58

ソースはどこよ

**名無しさん＠お腹いっぱい。** · 2001/07/03(火) 11:25

言っちゃってもいいかどうか解らん。広めるならもっと思いっきり広めないとだし。
実は知ってる人にはあたり前のことではあるが、C****S***-S********のことです。
解っててもそうそう防ぎ切れないもんでおれも困ってるの。もうここまでにしとくね。
きっとしかるべき機関なり人がしかるべきところで注意喚起してくれることを期待して。

**名無しさん＠お腹いっぱい。** · 2001/07/03(火) 11:47

被害立証できるんだったらオフラインでなんかすりゃいいじゃん。

**名無しさん＠おへそいっぱい。** · 2001/07/03(火) 13:41

SSL で Cookie 盗んで、なりすましまで出来るものですか?
マジできたら今まで言ったこと撤回するわ。

**名無しさん＠お腹いっぱい。** · 2001/07/04(水) 15:40

GETをはじく方法ってありますかね？
たとえばxxxx.php?id=123がありid部分を違う数字に
変えれば違う情報が表示されます。
直接入力された時は処理できないようにしたいのですが・・・。

**名無しさん＠お腹いっぱい。** · 2001/07/04(水) 15:45

直接って事は自サイト等からリンクされてる場合は良いの？

**名無しさん＠お腹いっぱい。** · 2001/07/04(水) 16:23

PHP4 のセッション変数って、オブジェクト（つまりクラスのインスタンス）は格納できるの？

**名無しさん＠お腹いっぱい。** · 2001/07/04(水) 17:15

>>64
サーバ側で何使ってるんだ?
CGIならREQUEST_METHODを見る
ServletならdoGet()とdoPost()で処理を分ける

**名無しさん＠おへそいっぱい。** · 2001/07/04(水) 21:28

>>64 Apache 使ってるなら httpd.conf か .htaccess で
GET がはじけるだろう。まにあるみれ。

**殿堂ナナシ** · 2001/07/04(水) 23:34

>>66
セッションの登録について PHP4 マニュアルには
「変数名を保持する文字列または変数名からなる配列」
ってあるね。

Java だと Serializable なオブジェクト（Javabean とか）は
出来るのにね～。

66 · 2001/07/05(木) 01:19

>>69 レスありがと。
あきらめきれずこんなテストコード書いたらちゃんとカウントアプしてくれた。

<?php
class testFoo {
　var $count;

　function testFoo($i) {
　　$this->count = $i;
　}

　function inc() {
　　$this->count++;
　}

　function hello() {
　　$this->inc();;
　　echo("hello, " . $this->count . " times.\n");
　}
}

session_start();
if (!isset($obj)) {
　$obj = new testFoo(0);
　session_register("obj");
}
?>
<html>
<h1>
<?php $obj->hello(); ?>
</h1>
</html>

/tmp覗いたら
obj|O:7:"testfoo":1:{s:5:"count";i:3;}
となんとなくシリアライズしてくれてる風味。

**名無しさん＠お腹いっぱい。** · 2001/07/05(木) 12:38

>>69
そのマニュアルの記述は、session_register(); の引数は
変数を表す文字列かその配列だよという意味だったんだね。

**名無しさん＠お腹いっぱい。** · 2001/07/13(金) 13:41

PHP4で各ユーザのセッションファイル(sess_*）の特定は
セッションＩＤの取得すればよいのですかね？
たとえばxxx.php?session_idのような感じでＯＫかな？
じゃ、Hiddenで渡すとき、nameは何になるのでしょうか？
疑問だったので・・・・・。

**名無しさん＠お腹いっぱい。** · 2001/07/13(金) 14:14

>>64
例：
$value=$HTTP_POST_VARS["hoge"];

これだとGET送信されたhoge(パラメータ名)の値は取れません。
phpの設定によっては使用できませんが。

**名無しさん＠お腹いっぱい。** · 2001/07/13(金) 16:50

>>72 セッションIDって今まで意識してなかったけど、取得しないとなにか不都合あるの？

**名無しさん＠お腹いっぱい。** · 2001/07/18(水) 09:56

>>74
各ユーザのセッション情報を特定するということじゃないのかな？
例えば、各ユーザでカスタマイズされたページを出力
するとか・・・。

**名無しさん＠お腹いっぱい。** · 2001/07/18(水) 13:58

>>74
必要性を感じないなら必要なし。
複数のHTTPセッションに渡ってクライアント情報を維持したいときに便利。

**名無しさん＠お腹いっぱい。** · 2001/07/18(水) 21:33

>>76
PHP4 でしょ？　だったら session_start() するだけて
session_register() した変数をとりこんでくれるんだから
スクリプト側は session ID を意識しなくていいじゃん。

77 · 2001/07/18(水) 21:36

ああ、そうね。書いてから気づいたよ。
セッション終わっても情報を取っときたいってことね。

**PHP三日目** · 2001/07/18(水) 23:52

PHPのセッションって
セッションタイムアウトってゆー概念がないの？
(ASPにあるよーなやつ)

**名無しさん＠お腹いっぱい。** · 2001/07/21(土) 00:12

あげましょう。

**名無しさん＠お腹いっぱい。** · 2001/07/30(月) 11:20

あげ。

**ナナシファン** · 2001/07/30(月) 11:55

>>79
あるよ～。設定はphp.iniじゃなかったかな？覚えてなくてごめん。

ほげ · 2001/07/30(月) 16:03

>>82
消える確率とか設定あったよね。どうしてランダムなのか理解に苦しんだ。

**名無しさん＠お腹いっぱい。** · 2001/07/30(月) 19:30

セッション管理って大丈夫？
二つのページを同時にアクセスした場合とかどうよ
セッション情報に「前のページ」とか残して、
それを信用して組んだりできないよね...

**名無しさん＠お腹いっぱい。** · 2001/07/31(火) 04:37

>>84
>二つのページを同時にアクセスした場合とかどうよ
二つは別セッションになるんじゃないの？

**コメント無しさん** · 2001/08/03(金) 14:08

>>84
>セッション情報に「前のページ」とか残して、
>それを信用して組んだりできないよね...
セッション管理が大丈夫かどうかとは関係ない気が

>>85
それは、IEでなんか設定したときだけじゃない？

**名無しさん＠お腹いっぱい。** · 2001/08/04(土) 13:47

クッキーに関しての質問です。
クッキーに配列を保存できますかね？
例えば、
$data=array(
"a" => "hoge1",
"b" => "hoge2"
);
SetCookie("hogehoge", $data);
こんな感じで$data配列を作成しクッキーに保存して、
$c_data=$HTTP_COOKIE_VARS["hogehoge"];
で、データを呼び出して
echo"$c_data[a]";
で出力できるようにしたいのですが、
なかなかうまくいかないです。

**コメント無しさん** · 2001/08/04(土) 17:46

>>87
こんなスレに書いても、セッション使えで終わると思うが。
再びスレ違い？

**電動ナナシ** · 2001/08/04(土) 18:06

>>87
Cookie は文字列しか受け付けないだろ？
マニュアル (http://www.php.net/manual/en/function.setcookie.php) を
見れば分かるが、引数は "string" と書いてある。
int setcookie (string name [, string value [, int expire [, string path [, string domain [, int secure]]]]])

マニュアルのサンプルコードにやりたいことのやり方が書いてあるぞ。

85 · 2001/08/07(火) 15:59

>>86
>それは、IEでなんか設定したときだけじゃない？
（・∀・）？

**コメント無しさん** · 2001/08/07(火) 16:12

>>90
クッキーの寿命の話ね。
ひとつのブラウザで１つのセッションになる。
IEは、設定すればウィンドウごとに別セッションになる。

セッションで「前のページ」を保存って話題だから、パラメータでセッション変数渡すことは考えてない。
そんときはパラメータに前ページ情報つければなにも問題ないから。

**名無しさん＠お腹いっぱい。** · 2001/08/10(金) 14:12

>>91
>IEは、設定すればウィンドウごとに別セッションになる。
どうやってすんの？

**名無しさん＠お腹いっぱい。** · 2001/08/10(金) 14:14

インターネットオプションで変更するの

**名無しさん＠お腹いっぱい。** · 2001/08/10(金) 14:26

>>93
クッキーのとこ？
なんないけど

**名無しさん＠お腹いっぱい。** · 01/11/07 01:49

そろそろ>>61について教えて欲しかったり。
age

**名無しさん＠お腹いっぱい。** · 01/11/07 02:15

ん？
クロスサイトスクリプティングでしょ？

95 · 01/11/07 02:29

>>96
あーホントだ、よく見りゃそうだ。どうもありが㌧
これで安心して眠れるぞヽ(´ー｀)ノ

**名無しさん＠お腹いっぱい。** · 01/11/08 22:15

PHP4のセッション初めてつかたけど、
/tmpにセッションごとの変数の値ががんがんたまってます。
もういいやと思ったあたりで消すしかないんでしょうか？

**名無しさん＠お腹いっぱい。** · 01/11/16 10:07

ガーベジコレクションで消えてくんじゃない？

**名無しさん＠お腹いっぱい。** · 01/11/16 17:01

溜まってるっつってんだろが！　ﾜﾗ

**名無しさん＠お腹いっぱい。** · 01/11/16 17:14

俺は、php.iniでsession.save_pathを/var/tmp/phpにしておき、cronで
/var/tmp/php以下を掃除するようにしてる。

**名無しさん＠お腹いっぱい。** · 01/11/18 03:56

>>100-101
マニュアル読み直した方が良いかと思われ。

**101** · 01/11/18 06:25

>>102
gcで消えることが多いんだけど、消えてないこともあるぞ。

**名無しさん＠お腹いっぱい。** · 01/11/18 12:29

>>101
session.gc_probabilityでGCの開始確率指定かえてみたら？

**101** · 01/11/18 21:08

うげ、session.gc_probabilityのマニュアルを良く読むと、in percentって書
いてある。デフォルトは1.0じゃなくて1%ってことだったのカー。
逝ってくる。

z · 01/11/21 00:38

php3国際版を使ってんだけど、id&pass を hidden で渡してるのはやっぱ気持ち悪い。
早いとこ php4に行きたいなぁ。

ところで、php4のセッション管理って、クラスのインスタンスを
保存できないのだよね？スカラー変数と配列のみ？？
インスタンスが保存できればうれしいんだけどな。

**名無しさん＠お腹いっぱい。** · 01/11/21 21:59

>>106
クラスのインスタンスもセッション登録は可能です。
メンバのみでメソッドはセッションに保存されないけどね

詳細はマニュアルをみれ

**名無しさん＠お腹いっぱい。** · 01/11/21 23:41

106はマルチだったのか

98 · 01/11/23 14:24

>>99-105
わかりやすい流れで助かりました。
ありがとうございます。

**名無しさん＠お腹いっぱい。** · 01/11/27 16:01

PHP4でのセッション管理なんですが、
PHP4標準のセッション機能とPHPLIBでのセッション機能、
みなさんどちらを使用されていますか？
どちらを使用しようか迷ってます。

**age** · 02/01/09 12:58

age

**名無しさん＠お腹いっぱい。** · 02/01/12 14:03

age

**名無しさん＠お腹いっぱい。** · 02/01/15 09:56

「セキュリティホール memo メーリングリスト」で
Apache::Session (Perl モジュール) の話が出てるね。

**113** · 02/01/15 09:58

あ、
http://memo.st.ryukoku.ac.jp/archive/200201.month/2669.html
http://memo.st.ryukoku.ac.jp/archive/200201.month/2670.html
です。

**名無しさん＠お腹いっぱい** · 02/01/23 02:53

WebObjects使えば、Session管理は自動。管理そのものに頭を悩ます必要ないです。
そのSession内でやりたいことを記述することに集中できますよ。
PHPもいいですけど、WebObjectsは比較になりませんでした。

**名無しさん＠お腹いっぱい。** · 02/01/24 16:18

セッション管理、してる？

**名無しさん＠お腹いっぱい。** · 02/02/21 16:29

結局のところ、session管理にはcookieは使うべきなのだろうか。
クロスサイトスクリプティング等の問題もあるけど。
セッションIDをURLで持たせて行くのは怖いような気がするんですが、みんなはどうやってる？

**名無しさん＠お腹いっぱい。** · 02/02/21 17:02

くき。

**名無しさん＠お腹いっぱい。** · 02/02/23 11:58

$_SESSION変数を使うえば透過的に処理してくれそうなんだけど、
使ってる人居る？

**age** · 02/06/20 21:08

ブラウザを完全に閉じると消える一時的cookieですが、
Proxyサーバーを通している場合、
クライアントがブラウザを閉じてもCookieがProxyサーバーに残りますか？

**nobodyさん** · 02/06/28 23:42

>>115
WebObjectsは反則です。あれはVBでWinアプリ作ってる感覚になっちゃいます。

**nobodyさん** · 02/07/24 21:42

Perl の CGI::Session::DB_File 使ってるんですが、
ロックファイルはどうやって削除するのがイイんで
しょうか？ delete() した後も残りますよね。

Apache::Session::Lock::File だと clean() がある
んだけど… (でもバグってる)

**山崎渉** · 03/01/15 13:51

（＾＾）

**nobodyさん** · 03/03/09 16:41

複数ページにまたがるアンケートで
URL埋め込みやhiddenを使ってページ間で値を渡してます

URL埋め込みの場合ですが、直打ちで任意のページを表示できてしまうので
アンケートの解答中にふとしたはずみで
直にページに飛んでしまい、解答済みのデータが飛ぶかもしれないと
PATH_INFOを使って判別してるのですが
PATH_INFOは間違った情報を返したりすることはないんでしょうか？
リファは結構ふっとんだりしてくれるので
似たようなことが起こるかと心配で…

**nobodyさん** · 03/03/10 22:33

漏れもhidden良く使うかも。　

**nobodyさん** · 03/03/12 17:37

PHPのセッション管理で鯖分散対応の為にセッションハンドラをカスタマイズして、
セッションオブジェクトを外部鯖のDBに保存する方法があるんだが、

http://www.pgsql.info/yohgaki.php
http://www.phpbuilder.com/columns/ying20000602.php3

誰か実際にやっている人います？

**山崎渉** · 03/03/13 16:59

（＾＾）

**nobodyさん** · 03/03/13 20:01

>>126
ここのスクリプトを改造して、自前でやってるぞ。
ttp://itb-tech.itboost.co.jp/phptips/view.php?fCID=15

**nobodyさん** · 03/03/15 00:57

>>126

おれも使ってる。正月にリニューアルしてwebを2台構成にした。
DBは後ろのネットワークに下げて両方から繋いでる。

www1.hoge.com
www2.hoge.com

の構成でも使えてるヨ。

**nobodyさん** · 03/03/15 01:14

セッション：負け組
クッキー：勝ち組

**nobodyさん** · 03/03/15 18:03

POSTメソッドを利用して入力フォームからPHPでPostgreSQLにApache経由でデータを登録するプログラムを書いています。
以下のプログラムを冒頭に置くとプログラムの最後の行を示しパーサーエラーで,
停止してしまいます。
session_start();
ob_start("mb_output_handler");

/* データ登録処理 */
if (isset($_POST["sbmt"])) {
/* enctypeがmultipart/form-dataなのでエンコーディング変換 */
while (list($key, $val) = each($_POST)) {
$_SESSION["post"][$key]
= htmlspecialchars(
mb_convert_encoding($val, "EUC-JP", "auto"),
ENT_COMPAT,
"EUC-JP");
}
原因はセッション変数に明示的に変数が設定されていないからでしょうか?

**nobodyさん** · 03/03/15 18:15

>131
ただの構文エラーだろ

**nobodyさん** · 03/03/15 18:53

>132
サンクス
でも、さっきのプログラムの前に別の関数からデータをセットして
あると動くんだよね
/* セッション変数管理 */
if (!isset($_SESSION["diary_year"])) {
$_SESSION["diary_year"] = date("Y");
}
こんなかんじで
date("Y")って部分は別の関数から定義されてるんだよね
最初にセッション関数が呼び出されたときには、配列の中を空に
しておきたいんですよ、それから簡単なエラーチェックをして
sbmitが実行した時にさっきのプログラムで文字をエンコードしたいよね。

**nobodyさん** · 03/03/31 23:27

今までのログを読んだけれど、なんとなくしかわかってないので、
質問させてください。

Perlで会員管理のしくみをつくってるのですが、

会員情報を入れてあるCSVファイルに、セッションIDの列をつくる。
IDパスワードを入れてもらってログインに成功した場合、
$year.$month.$day.$hour.$min.$$をcryptしたものを、
会員情報のセッションID列と、クッキーの両方に書き込んで、
以降は、そのセッションIDをクッキーでもらったら、それに該当する会員情報を表示する・・・

これって、問題ないでしょうか？
また、セッションIDを暗号化するという場合、上記のようにサーバ側とクライアント側両方を、
cryptするべきなんでしょうか？

**nobodyさん** · 03/03/31 23:54

>>134

やりかた自体はOK。

cryptはCookieのマジックナンバーを生成するために行うもの。
だからクッキーを生成するときに１回だけ行う。

**134** · 03/04/01 08:35

>>135
なるほど、ありがとうございますた

**nobodyさん** · 03/04/01 08:38

135です。
自己レスだが134には問題あった。

会員テーブルにセッションIDフィールドを持たせるのはよくない。
セッションはセッション管理用のテーブルを別にもたせる。
そのテーブルには、
　セッションID
　ユーザ識別コード
　セッション間で引き渡すデータ
　セッションの最終アクセス日時
などを入れておく。

**135** · 03/04/01 23:57

>>137
たびたびすみません。

で、正直、>>137のようにするメリットがわかりません。。。
あと、ユーザ識別コードって、
会員テーブルのユニークな主キー（の外部キー）っていうことですか？

**nobodyさん** · 03/04/02 01:33

破壊を防ぐ

**nobodyさん** · 03/04/03 06:17

>>138
ユーザ識別コードはユーザごとのユニークなキー
です。セッション間で値を引き渡すだけの簡単な
管理だけなら不要ですね。ログインして利用する
サイトを作るなら必要になると思いますが。

セッション管理の理論は書いてあっても実装まで具体的に
書かれている本って少ないですから、書籍で勉強する
よりホームページで勉強したほうがいいかもね。

**134** · 03/04/04 10:45

すいません、あとひとつ。

>>137 だと、
もしユーザが「ログアウト」ボタンを押したとき、
クライアントの持ってるクッキーも削除（過去の時間を指定）して、
セッション管理用テーブルから該当レコードを削除すればいいわけですよね？

ただ、ユーザがログアウトボタンを押さずにブラウザを閉じてしまった場合、
該当レコードは削除されないため、レコードがどんどんたまってしまうかと思います。

これは、どうすればいいのでしょう？
ほっとくしかない？あるいは、
どっかのタイミング（そのユーザがまたログインしてきたとき？）に削除するのでしょうか？

あ、そのために「セッションの最終アクセス日時」の列があるのかな？

**nobodyさん** · 03/04/04 19:30

>>141
ふつうはサーバでクーロン動かして定期的に掃除してやる。

**141** · 03/04/04 22:50

>>142
そっかー。
いまつくってるところ、クーロン使えないんですよね・・・
なら、そのユーザがまたログインしてきたときに、
削除（というか新しいセッションIDに書き換える）
でも、問題とくにないですよね？

**141** · 03/04/05 02:53

($sec, $min, $hour, $mday, $mon, $year,$wday, $yday, $isdst) = localtime(time);
$year += 1900;#気持ちわるいので、一応４桁にしておく
$sessionid = crypt($year.$mon.$mday.$hour.$min.$sec.$$, "AA");

で、セッションIDを取得したのですが、なんかいアクセスしても、
$sessionid = AAwTU6/kNo2jY という文字列になってしまいます。
なぜなんでしょうか

**nobodyさん** · 03/04/05 05:27

>>143
ユーザが再度ログインしたら、前回のそのユーザのセッション
ファイルだけ削除する必要はない。ログインしたらすべての
セッションファイルをチェックして、時間切れになるものをすべて
削除すればOK。

**nobodyさん** · 03/04/05 08:30

ASP VBScriptでsession変数を使ってセッション管理しようおおもうのですが、
ブラウザがわでクッキー無効にされてる場合ってセッション管理できなくなってしまうのでしょうか？その場合はURLにうめこむとか、HiddenでPOSTするとかで対処するしかないのでしょうか？

**nobodyさん** · 03/04/05 13:05

$sessionid = crypt($year.$mon.$mday.$hour.$min.$sec.$$, "AA");
print $sessionid;

・・と、セッションIDを生成してるのですが、
リロードを何度やっても同じ文字列になってしまい、
わけわからん状態です。。。

どうしてなのでしょうか？

**nobodyさん** · 03/04/05 14:31

crypt って、先頭の何文字かしかみてなかったと思う。

**147** · 03/04/05 18:50

>>148
なーるほど。
調べたら、先頭８文字しか見てないようです

**nobodyさん** · 03/04/05 18:53

DES(無印) = 8文字
MD5($1$) = 255文字(?)
BlowFish($2$) = ?

**nobodyさん** · 03/04/09 05:08

>>147
セッションを全く理解していないと思われるので、
まずフローチャート描いてみることをお勧めする。

**山崎渉** · 03/04/17 12:09

（＾＾）

**山崎渉** · 03/04/20 06:23

　　 ∧＿∧
　　（　　＾＾）＜ぬるぽ（＾＾）

**nobodyさん** · 03/04/22 07:11

セッション管理しつつ、２重ログイン（複数の人が同じＩＤでログイン）を禁止
するには、どうすればいいのでしょうか？

**(´д｀;)ﾊｧﾊｧ** · 03/04/22 07:52

http://www.k-514.com/

**nobodyさん** · 03/04/22 08:08

>154
「あなたは本当に○○さんですか?」というダイアログを出す。
SSL 使えないならマジこれしかない。

**154** · 03/04/22 08:12

あ、すいません、訂正
２重ログイン（複数の人が同じＩＤでログイン）
↓
２重ログイン（複数の人が同じＩＤで、同時に、ログイン）

**nobodyさん** · 03/04/22 10:54

>>154
んん？　どんなセッション管理の方法を使ってるのかわからんが……。
普通はそんな状況にはならんのではないのか？

IDとセッションを対で運用してる？
一つのIDには一つまでのセッションしかないようにすれば、解決しないか？

**nobodyさん** · 03/04/22 18:52

>>157
設計しだいだな。ログイン時の IP アドレスを記録しておいて、
同一 ID に対する最終ログイン IP アドレスしか受け付けないように
するしかないか。

A → ログイン (成功)
A → ページ要求 (成功)
B → ログイン (成功)
A → ページ要求 (失敗)
B → ページ要求 (成功)

これは IP アドレスを個人特定のキーに使っているが、ID に対する
初回ログイン時に Cookie を発行して、ID と Cookie を検証するとか
そういう方法しかない。まぁこの話を聞いてピンとこなきゃあきらめれ。

**nobodyさん** · 03/04/22 22:54

Javaを使っている場合、JMSを使ってみるとか。Sessionオブジェクトを一定期間DBなんかに永続化して
ログイン時に同じオブジェクトが永続化されていればログイン中などの判定を下す…
色々な判定基準があるだろうけど。ちょっと実装が難しいかな。

**154** · 03/04/24 01:14

>>158
ほんとだ。普通にクッキーと、セッションマスタ.csvをつくってたら、
自然と解決してた。

**nobodyさん** · 03/04/24 08:35

あのー、（トップ含めて）すべてのページをcgi'perl)にして、
セッション管理してたら、共用サーバだと追い出されます？

**nobodyさん** · 03/04/26 11:29

>>162

そんなもん、鯖の性能次第だろ。

**162** · 03/04/26 19:48

>>163
そうなんだ。。。
てっきり、「当たり前だろ」みたいなレスがくるかなと思ってた。

**nobodyさん** · 03/04/26 20:29

　　　　　　　　∧∧　　ミ　＿　ドスッ
　　　　　　　 (　　,,)┌─┴┴─┐
　　　　　　　/　　　つ.;ダブダブ-│
　　　　　～′　/´　└─┬┬─┘
　　　　　　∪ ∪　　　　 ││　_ε３
　　　　　　　　　　　　　　゛゛'゛'゛
おかずなら過激に
　http://www.dvd01.hamstar.jp

**bloom** · 03/04/26 20:29

http://homepage.mac.com/ayaya16/

**nobodyさん** · 03/05/10 21:17

age

**nobodyさん** · 03/05/10 21:48

http://accessplus.jp/staff/in.cgi?id=10645
http://accessplus.jp/staff/in.cgi?id=10943
http://www.39001.com/cgi-bin/cpc/gateway.cgi?id=pure
http://www.39001.com/cgi-bin/cpc/gateway.cgi?id=neat

**nobodyさん** · 03/05/22 01:04

perlとクッキーで強引につくってしまったが重いー

**動画直リン** · 03/05/22 01:08

http://homepage.mac.com/hitomi18/

**山崎渉** · 03/05/22 01:55

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

**山崎渉** · 03/05/28 17:22

　　　　∧＿∧
ﾋﾟｭ.ｰ　(　　＾＾）＜これからも僕を応援して下さいね（＾＾）。
　　＝〔~∪￣￣〕
　　＝ ◎――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉

**山崎渉** · 03/07/15 11:14

　__∧＿∧_
　|（　　＾＾）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

**nobodyさん** · 03/07/20 19:23

申込フォームがたくさんあるサイトを構築していて、
申込フォームが２，３ページまたがるページが多いとする。
（申込１->申込２->確認->完了のような)
この場合、その申込フォーム毎にsessionで
パラメータ受け渡しするのって割と普通にやるもん？

hiddenで持ちまわしてもいいんだけど、
入力不備があって前のページに戻したい時
入力されたパラメータを維持させた状態で前のページに戻そうとすると
LocationだとGETで渡すしかなくて、それだとURLに出てしまう。

sessionでやれるんであればそのページ自体にPOSTして
入力チェックもそのページ内のコードで完結できて
あとはLocationで飛ばせばすむ。

申込フォーム毎にセッション作るっておかしい？
それくらいhiddenでやるべき？
ﾏｼﾞﾚｽきぼん。

**八重洲支店** · 03/07/20 20:39

http://life.fam.cx/a007/

**nobodyさん** · 03/07/20 21:31

>>174
ある程度の信頼性が求められる場面では、サーバ側にセッション変数保存するのが鉄則。

**山崎渉** · 03/08/02 02:25

　　 ∧＿∧
　　（　　＾＾）＜ぬるぽ（＾＾）

**nobodyさん** · 03/09/04 01:42

PHPのsession.gc_probabilityって変更してます？

**nobodyさん** · 03/09/04 16:49

ヤフーのＩＤってどうやってブラウザーで
セッション情報保持してんの？
クッキーすててもログアウトするまでＩＤ残ってんだけど・・・
誰か知らない？？

**nobodyさん** · 03/09/05 23:35

>>179 サバ側に保存してるのでha?

**nobodyさん** · 03/09/05 23:46

>>179
ブラウザがメモリにクッキー持ってるのでは？

**nobodyさん** · 03/09/10 23:46

ファイルとしてのクッキーは捨ててもメモリーには
残るんですね・・・・・・

**●のテストカキコ中** · 03/09/10 23:50

http://ula2ch.muvc.net　(このカキコは削除しても良いです)

**nobodyさん** · 03/12/25 17:34

レンタルサーバーにショッピングサイトを作りたいのですが
↓みたいなのでいいと思いますか？

使用可能な環境
SSL CGI SQLDB

　ログイン画面→画面１→画面２→画面３
(全部SSL)

１．ログイン画面でＩＤ・パスワードを入れる
　　SQLDBと比較してＯＫ

２．セッションＩＤを生成しクッキー作成(期限無効メモリー内)
　　サーバー上のセッションＩＤファイルへ追加

３．画面２→画面３へ移るたびにクッキーの
　　セッションＩＤとサーバーのセッションＩＤファイルを
　　比較してチェック

今迷っているのはセッションＩＤをどう生成するかです。
また、画面移動するたびにチェックが必要なのでしょうか。
みなさんはどうしていますか？

**nobodyさん** · 03/12/26 13:34

PHP4やクッキーでいろいろセッション管理調べて
試したけど、どれも一長一短でいまいち。

そこで、ふと思いついたんだけど
セッションIDなんて使うから危険？
単純に hidden + POST(GETはダメ) + SSL(必須) で
ID+パスワードをパラメータで毎回送って
全ページで認証すればいいような。

PHP使おうが、クッキー使おうがどっちみち
セッションIDの認証は全ページしないといけない
事を考えるとレスポンス自体もそんなにかわらない
ような気がするし、セキュリティーの
観点から見ても結構いいと思うけど
どうでしょうか。

なによりも
携帯端末でもこの仕組みなら問題ないしね。

**nobodyさん** · 03/12/26 19:06

アホか・・・

**nobodyさん** · 03/12/27 00:47

>>186
じゃオマエのアホじゃない方法を述べてみろ
そして、どこがアホかも述べろ
アホ

**nobodyさん** · 04/01/31 14:44

どなたか、セッション管理について分かりやすく書かれているサイトを教えてくださいませんか

**nobodyさん** · 04/02/01 01:26

>>185
セッションＩＤが何かわかってないな・・

**nobodyさん** · 04/02/01 02:24

>>188
http://itbtech.itboost.co.jp/php/php_12.php

**nobodyさん** · 04/02/01 11:38

クッキー吐き出さん、携帯端末でブラウザとサーバー間で行う
セッション管理のような真似はできまつか...

04/02/01 11:41

>1
当時はPearのSessionライブラリも無かったのか。

**nobodyさん** · 04/02/01 11:42

>>191
出来るよ。以上。

**nobodyさん** · 04/02/01 11:59

>>193
どんなテクニックで行うのか教えてもらえませんか、参考になるURLでもいいでつ
よろぴく。

**nobodyさん** · 04/02/01 12:08

質問の仕方を覚えたらまた来てくれ。

**nobodyさん** · 04/02/01 23:33

ASPのsession管理ってcookieオフってると使えないのですか？
PHPは？
javaもcookie使ってるの？

**nobodyさん** · 04/02/02 00:06

>>194 たとえばJavaServletなら、response.encodeURL("URL")で、クッキー使わないことが可能
>>196 同じく

**nobodyさん** · 04/02/02 03:43

マニュアルくらい読めよカスども

**nobodyさん** · 04/02/02 03:53

ログを読まずに同じ質問でループさせるｶｽも終了してほしい。

**nobodyさん** · 04/02/03 20:12

>>199
ごめんちょ