私的良スレ書庫

不明な単語は2ch用語を / 要望・削除依頼は掲示板へ。不適切な画像報告もこちらへどうぞ。 / 管理情報はtwitterで
ログインするとレス評価できます。登録ユーザには一部の画像が表示されますので、問題のある画像や記述を含むレスに「禁」ボタンを押してください。

元スレ【PHP】セッションについて語ろう！【PHP】

php スレッド一覧へ / php とは? / 携帯版 / dat(gz)で取得 / トップメニュー

みんなの評価 : ○
レスフィルター : (試験中)

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 次へ

/ 要望・削除依頼は掲示板へ / 管理情報はtwitterで

1 : nobodyさん - 03/09/24 19:31 ID:SnRvXmpI.net (+120,+29,-41)

ブラウザを閉じたらセッションの効果がなくなるのって、
ブラウザを閉じることでクッキーを消しているからなのですね。。
知らなかったよーーーーうわーーーん

2 : nobodyさん - 03/09/24 19:32 ID:SnRvXmpI.net (+43,+29,-41)

いちいちセッションの機能使わなくてもよく考えたら、
IPをキーにして
普通につくれるじゃん。。
と思ったんんだけどどうう？

3 : nobodyさん - 03/09/24 20:24 ID:???.net (+36,+30,-142)

1、スレ建て宣言…………１
2、開会の辞………………１
3、煽り………………住人有志
4、逝ってよし……………１
5、御前もな………………住人有志
6、決意表明………………１
7、祝電披露………………1の家臣
8、来賓挨拶………………1の母親
9、来賓挨拶………………1の主治医
10、余興……………………もな踊り保存会
11、余興……………………１騙り太夫
12、送辞……………………大検
13、答辞……………………１
14、板歌斉唱………………全員
15、閉会の辞………………スレッドストッパー
16、終了宣言………………ひろゆき（削除忍代読）

4 : nobodyさん - 03/09/24 22:39 ID:???.net (+5,+12,-13)

早くPHP5出ないかなぁ・・・。

5 : nobodyさん - 03/09/24 22:40 ID:???.net (+32,+29,-42)

>>2
世の中の全端末にグローバルIPアドレスを付与出来るようになったのなら、それでも良いんだろうけどな。
NATやNAPT、プロキシサーバなんてもんが存在してしまうわけだ。

6 : sage - 03/09/24 23:20 ID:???.net (+27,+29,-2)

>>5
それって何か問題ある？

7 : nobodyさん - 03/09/24 23:48 ID:???.net (+17,+24,+0)

完全ではない、という問題。

8 : sage - 03/09/25 00:23 ID:???.net (+36,+29,-54)

IPが変わる可能性がある、ということだよね。
変わらなければ問題はない。
けれども変わるから完全ではない。

でも用途によれば、問題なく利用できるよね。
使う目的によって、価値も変わってくるということだ。

9 : nobodyさん - 03/09/25 00:41 ID:ZJmN+3d3.net (-1,+13,-1)

あげ

10 : nobodyさん - 03/09/25 00:57 ID:???.net (-13,-6,-17)

セッションだけで1000まで逝くか?

11 : sage - 03/09/25 02:07 ID:???.net (+27,+29,-21)

実際、、どうやったら、セッションの代わりになるんですか？
誰かおしえてちょんまげ

12 : nobodyさん - 03/09/25 10:43 ID:???.net (+33,+29,-57)

IPが変わるとか、ブラウザの起動中だけとか言ってるけど
問題はその逆。
同じアドレスで複数の人がアクセスする可能性
同じクライアントで別人がアクセスする可能性

これがあるから、そのままでは使えない

13 : sage - 03/09/25 17:47 ID:???.net (+27,+29,-32)

っていうかIPをキーにするんじゃなくて、クッキーをキーにしたら、
セッションと同じ機能をまるごとつくれるんじゃないか？

14 : sage - 03/09/25 17:49 ID:???.net (+35,+29,-46)

>>12
同じクライアントで別人がアクセスする可能性

セッションでもそれが言える罠。

15 : nobodyさん - 03/09/25 18:38 ID:???.net (+22,+29,+0)

なんだこのレベルの低さは

16 : nobodyさん - 03/09/25 19:19 ID:???.net (+15,+12,-17)

>>14
いやだから、ログアウトやブラウザ閉じたら無効にする機能が必要

17 : sage - 03/09/25 19:28 ID:???.net (-6,-6,-21)

>>16
クッキーの有効期限を0にしたら同じじゃないの？

18 : nobodyさん - 03/09/25 19:43 ID:T3dpzMyk.net (+5,+15,+0)

ｲｲﾖｰｲｲﾖｰあげ

19 : nobodyさん - 03/09/25 21:11 ID:???.net (-20,-18,-19)

今どきクッキーでセッション管理してﾓﾅｰ

20 : nobodyさん - 03/09/25 22:05 ID:???.net (+17,+20,+1)

>>8
アホか。

23 : nobodyさん - 03/09/27 10:39 ID:???.net (+19,+29,-11)

>>22
素直にDBの主キーと比較するとかもあると思うけど、それほど邪道でもないかと。
複数ページでのつながりを確保するのが目的だからな。

24 : nobodyさん - 03/09/27 20:12 ID:76PBBTl7.net (+15,+23,-8)

>>22
sessionでチェックという以前に、
遷移先画面にリダイレクトさせて、戻れなくするのが基本じゃないのかなぁ？？

25 : 直リン - 03/09/27 20:13 ID:fK1fC/Fc.net (+20,+30,+0)

http://www.leverage.jp/bloom/qry/search.qry?function=first

26 : nobodyさん - 03/09/27 20:30 ID:???.net (+34,+29,-6)

>>24
エラーが出たとき入力内容が一切合切消えるのは非常に迷惑。

27 : nobodyさん - 03/09/28 22:13 ID:???.net (+31,+29,-22)

>>26
言ってる意味がよくわからん
それって、クライアント側のバッファ利用の問題で、二重投稿処理とは関係ない

28 : nobodyさん - 03/09/28 22:40 ID:???.net (+34,+29,-14)

戻れなくして不便を強いられるより、そういう配慮をしてくれる
ところのほうが好感が持てますね

32 : nobodyさん - 03/10/01 18:45 ID:H4wYblVH.net (+29,+29,-85)

Yahooのサイトでは、クッキーを使ったセッションで認証をやってて、クッキーが分かっても設定されてるクッキーが
Yahooドメインかどうかを判断して不正ができないようにしているみたいですが、これってクラックの危険性はありますか？
大丈夫そうだったらウチのサイトでも導入しようかと考えてます。

33 : nobodyさん - 03/10/01 19:14 ID:???.net (+33,+29,-20)

危険が無いわけじゃないが、あちこちで使われている手法だし
対策はされている。

36 : nobodyさん - 03/10/04 07:34 ID:???.net (+25,+29,-5)

レベルの低さからしてネタスレか？

37 : nobodyさん - 03/10/05 22:20 ID:???.net (+33,+29,-21)

>>36

>>2から１０個ぐらいの書き込み見ると、完全にネタスレだと思ったけど、
その後、ベタっぽい低空飛行で展開されているようなので、俺も判断に苦
しんでる。

38 : age - 03/10/11 00:19 ID:???.net (+24,+29,-18)

>>22,26,28,33
などは、典型だが、良い子は、まねしないでね。晒し上げ。

39 : nobodyさん - 03/10/11 00:23 ID:???.net (+16,+29,-5)

根拠を書かない>>38を晒しあげ

40 : nobodyさん - 03/10/11 00:39 ID:???.net (-21,-30,+0)

phpマニュアルのセッション関数（セキュリティ部分）を抜粋してみたYO。

------------------------------------------------------------------------------
セッションとセキュリティ
外部リンク: Session fixation

セッションモジュールは、セッションに保存した情報を見ることができるのが
そのセッションを作成したユーザーだけであることを保証することができません。

セッションの完全性を積極的に守るには、そのセッションに紐づく値に応じた追加措置が必要です。
セッションに運ばれるデータの重要性を評価し、必要な保護策を講じて下さい。
これには通常、お金があかり、ユーザの利便性を損なうことになります。例えば、簡単な
社会工学的な策略からユーザを守るためには、 session.use_only_cookiesを有効にして下さい。
この場合、ユーザ側でクッキーは無条件に有効となっている必要があります。そうでない場合、
セッションは動作しません。

存在するセッションIDが第三者に洩れる手順は何種類かあります。
洩れたセッションIDにより、第三者が特定のIDに関連する全てのリソースにアクセスできるように
なります。まず、セッションIDがURLにより伝送される場合です。外部サイトにリンクを張っている場合、
外部サイトのreferrerログにセッションIDを含むURLが保存される可能性があります。
第二に、よりアクティブな攻撃者がネットワークのトラフィックをモニターしている可能性があります。
セッションIDが暗号化されていない場合、セッションIDはネットワーク上を平文テキストで伝送されます。
解決策はサーバ上にSSLを実装し、確実にユーザに適用することです。
-------------------------------------------------------------------------------

41 : nobodyさん - 03/10/11 08:32 ID:???.net (+32,+29,-12)

>>40
で？
そんな分かりきった事をのっけて何が言いたいの？？

42 : nobodyさん - 03/10/11 10:46 ID:f+KUGOmH.net (+32,+29,-7)

>>41
初心者には分かりきったことではないんでしょう。
なぜつっかかるのかわからん。

43 : nobodyさん - 03/10/11 21:38 ID:???.net (+33,+29,-19)

>>42何が言いたいかわからん、ということを言いたいのじゃないのか？>>41は

46 : nobodyさん - 03/10/12 02:47 ID:???.net (+33,+29,-23)

キャッシュの話と>>28は関係ない
>>28は戻るボタンを用意して、内容を復元する配慮をしてくれと
言ってるので、ブラウザの戻るでのキャッシュを使えとは言ってない

47 : nobodyさん - 03/10/12 02:51 ID:???.net (+32,+29,-18)

>>33もあれだな。
クラックの危険があるから通常は対策していると言ってるので
指摘される理由がわからんな