PHPコーディング

セッション導入で更にセキュアに

2013年07月03日
セッションを導入し、システムをよりセキュアにすることにしました。

セッションの役割、機能を学ぶには、こちらのサイトが役立ちます。
セッション管理 - PHP入門
セッション管理
基本的な使い方がわかります。

PHPのセッションの問題点を認識し、よりセキュアにするには、PHPのセッション管理の注意点メモ が参考になります。

PHPのセッション管理の注意点メモ で少し触れられているだけのセッションクッキーについては、クッキーとセッション管理を読むとわかります。

これらを踏まえて、システムにログイン後、セッションを使ってユーザ認証するソースをコーディングです。

【session_start();】をコールすると、クッキーにセッションIDがセットされます。クッキーが使えない環境もあると思いますが、URLにセッション情報を含めるのはいかがなものかと思うので、今回は使えない環境は無視です。
セットされたクッキーのセッションIDとサーバーにあるセッションIDが同じかどうかで判断します。

今まで使ってた認証も残しているので、2重3重のチェックが走ります。