【PHP】セッションについて語ろう!【PHP】
- 1 :nobodyさん:03/09/24 19:31 ID:SnRvXmpI.net
- ブラウザを閉じたらセッションの効果がなくなるのって、
ブラウザを閉じることでクッキーを消しているからなのですね。。
知らなかったよーーーーうわーーーん
- 781 :nobodyさん:2007/07/17(火) 10:55:11 ID:???.net
- >>778
だから、セッションIDが漏れても大丈夫なように対策をするわけだ。
非常に低レベルな対策としてはIPアドレスを使う方法だが、
これは例えばDoCoMo携帯みたいに接続ごとにIP変わる場合には使えねぇな。
DoCoMoはリファラ吐かないが、auなんかリファラ吐くから簡単にセッションIDは漏れる。
だから、例えばauの個体識別番号なんかを使って、万が一セッションIDが漏れても
大丈夫なように対策をするわけだろ?
でも個体識別番号の通知をオフにする設定も出来るわけで、そこら辺どう対策していくかとかさ。
それ以前に、最近のau機種の大半ははクッキー対応してるけどw
俺の管理しているサイトの鯖ログには、
mixiのセッションIDがくっついたリファラや、
YahooメールのセッションIDがくっついたリファラがたくさん残ってるが、
だからといってそのURLにアクセスbオても無駄だわbネ。当たり前。
- 782 :nobodyさん:2007/07/17(火) 16:09:19 ID:???.net
- >>781
mixiはたぶん、毎ログインごとにセッションIDをDBに保存していると思う。
だから、1人のユーザがログインしている時だけ有効なセッションIDを
利用するから、二度と同じセッションIDは使えないわけで、
それがセキュリティ対策になっているのだと思う。
と言ってもOpenPNEのソースをみた印象なので、正しいかどうかはわからないが。
- 783 :nobodyさん:2007/08/13(月) 17:11:35 ID:2Us4/V6C.net
- すみません質問です!
localhost/test/sessiontest/index.php ←ここでsession_start()してprint session_id(); print session_name();
localhost/test/index.php ←ここでsession_start()してprint session_id(); print session_name();
すると両方とも名前はPHPSESSIDなんですがIDが違ってて、sessiontest/index.phpでセットした値が上の階層で使えません。
下階層でセットしたセッション情報って上の階層で拾うにはどうすればいいのでしょうか。
- 784 :nobodyさん:2007/08/13(月) 19:51:06 ID:???.net
- session_set_cookie_params
- 785 :nobodyさん:2007/08/31(金) 15:08:21 ID:1lVu4gM5.net
- セッション管理のヘルパとかライブラリってありますか。
軽量な奴で。
- 786 :nobodyさん:2007/08/31(金) 18:25:49 ID:???.net
- さあ
- 787 :nobodyさん:2007/08/31(金) 20:00:57 ID:???.net
- 無駄なレスするなよ。屑が。
- 788 :nobodyさん:2007/08/31(金) 23:38:44 ID:???.net
- 無駄なレスするなよ。糞が。
- 789 :nobodyさん:2007/09/01(土) 01:28:14 ID:NDVzf3zM.net
- >>785
俺が自分で作ったやつがある
- 790 :nobodyさん:2007/09/01(土) 06:46:49 ID:???.net
- >>789
ここに貼って下さい
- 791 :nobodyさん:2007/09/01(土) 16:55:59 ID:fGUplrri.net
- [2ch公式広告]
一瞬、ハーバーライフと間違えるところだった。。
違うよ、コレは。
ヤフオク関連の最強情報
これを知らずして、ヤフオクで稼ぐことは出来ない。(キッパリ)
http://2ch2.net/.l?=jd2e
- 792 :nobodyさん:2007/09/01(土) 19:11:24 ID:???.net
- ( ´д)ヒソ(´д`)ヒソ(д` )
- 793 :789:2007/09/03(月) 09:18:25 ID:ipYR2CKm.net
- いや、つうかさ、
>セッション管理のヘルパとかライブラリ
とかって、何に対してして欲しいのさ?
Perlやってた俺としては、PHPは十分便利だと思うけど?
- 794 :nobodyさん:2007/09/03(月) 09:52:57 ID:M+H83k8j.net
- クッキーじゃ駄目なの?
- 795 :789:2007/09/03(月) 11:44:25 ID:ipYR2CKm.net
- クッキーは1024byteまでしか使えないんじゃなかった?
- 796 :nobodyさん:2007/09/03(月) 13:43:02 ID:???.net
- 4KBじゃなかったっけ
- 797 :nobodyさん:2007/09/03(月) 22:23:06 ID:???.net
- 4096bytes/cookieで特定のホストかドメイン毎に20cookieまで。
さらに携帯では制限付くよ。
というかDoCoMoがいつまでもCokkie非対応で
そろそろ機能が付くという話も聞いた気がしたがサイトに情報なかったな。
- 798 :nobodyさん:2007/10/06(土) 16:08:49 ID:iTscqPhy.net
- 最近、セッションが勝手に切れるんだけど、
同じ現象を経験した人いる?
- 799 :nobodyさん:2007/10/06(土) 16:54:37 ID:???.net
- >>798
どこのセッション?
- 800 :nobodyさん:2007/10/06(土) 19:32:49 ID:iTscqPhy.net
- >>798
俺が作ったショッピングサイト。
ショッピングカートの中身が消えるという現象が起きてる。
タイミングは不明。
商品を10、20個入れても消えない時もあるし、3個で消えた事もある。
セッションが破棄されるタイミングがさっぱりわからないんだ。
- 801 :nobodyさん:2007/10/06(土) 20:18:38 ID:???.net
- お前のバグだ
- 802 :nobodyさん:2007/10/08(月) 15:32:47 ID:???.net
- >>800
lifetime切れじゃね?
- 803 :nobodyさん:2007/11/17(土) 09:00:33 ID:???.net
- hpのセッション管理について、動作が不明な点があります。
(現象)
1. ログイン実行、ログイン成功ならばクッキー変数にセッションIDを設定します。
2. しばらくログインしたままで画面を開いていました。
ガベージコレクションが実行されてプログラム内で設定したセッション変数が削除
されました。
3. ログアウトの処理を実行せず、画面を閉じて終了しました。
明示的にsesson_destroy()は実行していません。
4. 再度ログインしました。その後設定されているセッション変数を確認したところ、
上記1.で設定していたセッションIDと同じ値が設定されました。
2.でガベージコレクションが実行されてセッション変数が
削除されたはずなのに、再度ログインすると同じ以前と同じセッションIDとなる
理由がわかりません。
セッションIDはガベージコレクション実行後でも削除されないのでしょうか。
PHPでセッションIDが変更されるのはどのようなタイミングなのでしょうか。
もしかすると私のphpのセッションの仕様理解不足な点があるかもしれません。
わかる方がおりましたら教えてください。
- 804 :803:2007/11/17(土) 09:03:02 ID:???.net
- すみません、1行目入力ミスしました
× hpのセッション管理について、動作が不明な点があります。
○ phpのセッション管理について、動作が不明な点があります。
- 805 :nobodyさん:2007/11/18(日) 18:06:28 ID:???.net
- >803
>ガベージコレクションが実行されてプログラム内で設定したセッション変数が削除されました。
何かでちゃんと確認した?ガベージコレクションがセッションを軒並み
削除してしまうなんてことはないはずだけど
- 806 :nobodyさん:2007/11/19(月) 22:42:35 ID:???.net
- 質問なんだけどauサイトでのセッション管理はURLにセッションID埋め込む方法でOK?
docomoとソフトバンクは上手くセッション管理できてるけどauだけ何故か上手くいかなくて。。
- 807 :nobodyさん:2007/11/19(月) 23:40:56 ID:???.net
- >>803
セッション固定脆弱性と同じ原因でしょ。
この場合はセッションIDが悪意を持つだれかが用意したものではなくて、
クッキーや履歴の一部(クエリ文字列でセッションIDを引き回した場合)に古いセッションIDが残っていて、それが利用されたと考えられる。
この動作には害はないけどセッション固定攻撃されると危険なので対策を施した方がいい。
>>806
auはクッキー使える
- 808 :nobodyさん:2007/12/06(木) 21:19:04 ID:NgA5yLDN.net
- PHPに限ったことではないんですが、タブブラウザとかで1つのwebアプリに
ログインした状態でもう一つタブを作ると、同一セッションになってしまいますよね。
これを回避するブラウザ、もしくは対策はないでしょうか。
(全てのページのURLにセッション名を埋め込むとかは面倒なのでしたくないです)
- 809 :nobodyさん:2007/12/06(木) 22:37:58 ID:???.net
- セッションの仕組みを考えれば分かる事だろう?勉強不足。
- 810 :nobodyさん:2007/12/07(金) 01:41:17 ID:???.net
- >>809
sine kitigai
- 811 :nobodyさん:2007/12/07(金) 05:11:27 ID:???.net
- あーはいはい。余程悔しかったんだね。
そんな書き込みしてる暇あったら少しはお勉強しなよ僕^^
まずは、日本語のね(笑)
- 812 :nobodyさん:2007/12/07(金) 05:50:16 ID:???.net
- http://forums.microsoft.com/MSDN-JA/ShowPost.aspx?PostID=2411791&SiteID=7
にもある通り、ctrl+nで開かれた場合を考えると難しいのでは
- 813 :nobodyさん:2007/12/08(土) 07:19:25 ID:???.net
- windowsで開発するときのセッションファイルってどこにあるん?
- 814 :nobodyさん:2008/03/08(土) 03:14:32 ID:???.net
- XPだと
C:\WINDOWS\Temp
ほかの環境は試したことないからわからん
- 815 :nobodyさん:2009/01/29(木) 18:26:11 ID:???.net
- //$_SESSION['abc']; は前ページで123を代入
//ここから
$_SESSION = array();
if (isset($_COOKIE[session_name()])) {
setcookie(session_name(), '', time() - 42000, '/');
}
session_destroy();
echo $_SESSION['abc'];//123
と表示したいのですが何か方法はないのでしょうか?クッキーとか使わずに。
- 816 :よーわからんが:2009/02/15(日) 17:31:56 ID:ig6UuNex.net
- 要するにセッションを破棄した後で、そのセッションに入っていた変数を参照したい、ということなら、
$_SESSION = array();
の直前に
$temp = $_SESSION;
とかしておいて、最後の
echo $_SESSION['abc'];
の代わりに
echo $temp['abc'];
とかすればよいのでは?
はずしてたらスマソ
- 817 :nobodyさん:2009/03/12(木) 07:13:55 ID:???.net
- 質問です。mixiってSSLじゃないけど大丈夫なんですか?
これが、楽天やアマゾンだと
普通の商品ページ→http
しかし、購入後の清算ページ OR 会員登録 OR 会員登録変更などは
全部httpsです。
これって、とりあえずセッションIDを変えてるってことですよね
- 818 :nobodyさん:2009/03/12(木) 13:09:42 ID:???.net
- mixiなんてプレミアムの申し込み以外は個人情報入力するわけでもないのにSSL化する意味あるのか
2ちゃんで名前欄にコテハン入力するのと同じレベルだぞ
- 819 : 【30.4m】 電脳プリオン:2012/05/20(日) 23:16:11.62 ID:???.net ?PLT(12079)
- もう語らないのか
- 820 :nobodyさん:2012/07/20(金) 12:55:54.60 ID:???.net
- セッションしようぜ!
- 821 :nobodyさん:2012/08/06(月) 19:05:05.06 ID:???.net
- セッションセッション!
- 822 :nobodyさん:2013/08/06(火) NY:AN:NY.AN ID:???.net
- PHP.iniのsession.save_handler に、独自のセッションハンドラを定義する
方法はあるのでしょうか?
セッション変数をDBに格納したいので独自にハンドラを書きたいのですが、
事情によりスクリプト内でsession_set_save_handler関数は使えないんです。
- 823 :nobodyさん:2017/06/16(金) 02:17:14.58 ID:Q+lMB4cD.net
- >>822
独自のセッションハンドラを、標準的なセッション(ファイルベース)と挙動が変わらないように実装するのは意外に面倒。
セッション変数をDBに格納したい理由が分からんが、session_start()を呼んでいる前後でsession_id()をDBに登録するのでは駄目かな?
- 824 :nobodyさん:2017/07/12(水) 20:55:17.87 ID:0xbGegyr.net
- 問い合わせフォームのページ遷移で、自分のページから来たことを確かめるためにセッションを使っています。
input type="hidden" name="token"
他人のブログ等見ると、
■session_idを使う方法
$token = hash('sha256', session_id());
↓
if ($_POST['token'] != hash('sha256', session_id())) {
■$_SESSIONと照合する方法
$_SESSION['token'] = rtrim(base64_encode(openssl_random_pseudo_bytes(32)),"=");
↓
if ($_SESSION['token'] != $_POST['token']) {
と2種類(他にも?)見られますがどちらがいいのでしょうか?
htmlspecialcharsはここでは省略しています。
- 825 :nobodyさん:2017/07/16(日) 04:11:54.15 ID:2UeiIHQZ.net
- >>824
session_idを使う方法は新たなセッション変数が不要なので最も簡便だが、
フォームとcookieを比較されたらすぐにバレるので、
バリデーションを保証する要素としては使わない方が良い。
$_SESSION['token']を作る場合は、いつどこで作るのか、
それが既に定義されていた場合のフローなどを考える必要がある。
よって、ページ遷移元を保証するだけならsession_idでも構わないが、
バリデーションを保証する目的で$_SESSION['token']を作る価値はある。
- 826 :nobodyさん:2017/07/16(日) 21:41:06.20 ID:???.net
- >>825
詳しくありがとうございます。
それぞれ単独で説明する記事は見られるのですが比較する記事が見つからなくて迷ってました。
助かりました。
- 827 :nobodyさん:2017/07/18(火) 02:28:06.12 ID:Ro/ZKJYI.net
- >>826
セキュリティに対する意識は単価の高い案件に携わるには必須だよ。
ガンバレ!
- 828 :nobodyさん:2017/12/30(土) 12:40:32.46 ID:YhlYw6jg.net
- 誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『半藤のブブイウイウレレ』 というサイトで見ることができます。
グーグル検索⇒『半藤のブブイウイウレレ』
FBZK1A4NUV
- 829 :nobodyさん:2018/06/21(木) 10:42:50.51 ID:VtSVJLaY.net
- プログラミングを誰でも習得できる方法は、「前場アキドルのプログラミングマスター方法」というブログで見られるらしいよ。ネットで調べると見られるらしいです。
5TNTB
- 830 :nobodyさん:2023/08/30(水) 02:32:03.97 ID:PHXyUG5Lx
- 税金泥棒の松川るいた゛の小池百合孑だの、どうして高い所と騷音が大好きな人としての最低限の知的能力すらないクズってのは、地球破壊して
まで旅行したがるんだろうな、そういう恥知らずのバカほど政治やりたがってしかも当選させるんだから曰本が崩壞するわけだわ、力による
一方的な現状変更によってクソ航空機倍増.閑静な住宅地から都心まで数珠つなぎで鉄道の30倍以上もの莫大な温室効果カ゛スまき散らして
気候変動させて海水温上昇させてかつてない量の水蒸気を日本列島に供給させて土砂崩れ、洪水.暴風.突風,灼熱地獄にと住民の生命と財産
を徹底的に破壊して静音が生命線の知的産業壞滅させて子供の学習環境まで破壊してでも、てめえのハ゛カ丸出しの欲望を満たそうとする害虫な
わざわざエッフェル塔とか見に行って何が楽しいんだがサッパリ分からんが、いい歳して何千回見たことか花火見て嬉しがったり.いい歳して
玉遊びしてるおっさん眺めてエキサイ├してるバカとか、衆愚政治にカルト教まで蔓延する構造か゛よく分かるな、はよまた墜落して焼け焦げた
てめえらのごちゃ混ぜの肉片やらふ゛ちまけた内臓やら眺めながら息絶えるまでの数分間てめえらに殺された人々を思い浮かべて猛省しろやカス
(羽田)tТps://www.call4.jР/info.php?typе=items&id=I0000062 , ttps://haneda-project.jimdofree.com/
(成田)tΤps://n-souonhigaisosyoudan.amebaownd.com/
(テロ組織)ttps://i.imgur.Сom/hnli1ga.jpeg
208 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★