ナイス解説

>>652
サーバー側の設計が分からないためか、イマイチすっきりと分からない。

IEってサービスパックでも挙動が変わる問題ブラウザだからな。
IE7対応できてる香具師居る？

セッション中のキャッシュってメモり喰いまくって腹膨れてるから、早めに解放しないとリソース枯渇して鯖ごと落ちるだけだぞ。

他人のセッションが取れたら、他人のカードで買い物しまくれるよな(w
ミクシだと、他人の垢使いまくり(w

またそのネタか

何度もすいません

セッション保持期間なのですが、値を読んだときからという認識であってますでしょうか
値を更新した時からではないですよね？

マニュアル読めば分かると思うが

世の中、暇人や言語マニアばっかじゃないから、いちいちマニュアルなんか読んでらんないんだよ。
答える気がないんだったら、ウザイから黙ってろよ。

プログラマでマニアじゃないのは致命的と釣られてみよう

いや、662は答えだが？

>>664
単なるマニアは致命的。プログラマーという仕事に向いてない。
しかも、プログラムする人間が職業プログラマーだけという閉塞した思考回路も致命的。
世の中には本来の目的とは別に、仕方なくプログラムを組まなきゃならん人間がいるのだ。

>>665
文盲乙！

なぜそう答えられたのか自分のレスと読み比べてみたらｗ

>>667
コミュニケーション能力のない奴、乙！

> 暇人や言語マニアばっかじゃないから、いちいちマニュアルなんか読んでらんないんだよ

指をくわえて答が返ってくるのを待つほど暇じゃない人のためのマニュアルだし
ソース読んで仕様を舐めまわすマニアじゃないから使い方だけ知るためにマニュアルを参照するんだよ
応用が利くという複利もあるしね。現実に>>661はこのケースだったわけだ

さて、日本語がよめてコミュニケーション能力のある奴ならなんて答えるんだろうねｗ

マニュアルの該当部分をここに書けってか死ねばいいのに
答えが書いてある場所を示されただけでも良いほうだろ
ここはサポセンか？
釣り宣言していいから去れ

１．登録→２．確認（セッション保存）→３．完了（セッションからDB登録）
って流れでセッション使うのは皆どういうやり方してるの？
以降、登録画面用セッションデータをSDと、登録・確認・完了は１・２・３で記述

一．SD１件方式
１で既存SDがあればクリアする？２で上書きする？
２でSD保存
３で登録後にSD消去
つまり、登録確認画面を開いたまま、別ウインドウで登録処理を同時にやると最初の画面は正常動作しない

二．SDｎ件方式
１で何もしない
２でSD増加し保存
３で登録後にSD消去
つまり、確認画面を開かれる度にSDが増加し、完了までいかなければゴミSDが無限に増加していく

どちらも問題点があるんだが、みんなセッション使ってるみたいだし
問題点のないスマートなやり方ってあるの？

>>669
日本語が不自由な奴、乙

>>670
マニュアルの該当部分でもコピペすればいいだろ。コピペの仕方なら初心者板で聞いて来い

>>672
マニュアルを読めばいいじゃん？

>>672
必死だな

他人のセッションって奪えるの？

もちろん
単純にセッションIDだけで管理するなら、理論上は総当りで奪えるよ
現実的にどうだかはトリップ解析の総当りを見れば分かる
セッションIDが特定できる場合は言わなくても分かるな？

なんだ実際に試してないのか
空論で語られてもな

> 単純にセッションIDだけで管理
そりゃそうだ

お前バカ？

物理的にネット上のIPを奪ってセッションIDを盗み見られたら終わりだね。

こいつこそ馬鹿

たしかソフトあるだろ？

【セキュリティ上の注意】

php の セッションIDは、マイクロ秒単位の現在時刻 + ユーザーのリモートアドレス + combined-LCG（線形合同法自体は、疑似乱数生成方法としてはセキュアな方法ではない。） が種となっている。
セキュリティの専門家の高木浩光氏も 「phpらしい駄目っぷりだ。」 と批判している。

Unix 系 の OS ならば php.ini などで /dev/urandom を乱数の種に使うように設定しよう。

次のように記述すれば良い。
| session.entropy_file = /dev/urandom
| session.entropy_length = 32

/dev/urandom では、周囲で発生するノイズ等の攻撃者に推測されない値をデバイスドライバや他の情報源から収集して、乱数の種として使用する。
これは、特殊なハードウェアが無い普通のPCでも使えて大変便利。
HDDの回転数、CPUの温度、ハードウェアの温度、マウスの動き、HDDの寿命、ハードウェアのエラーセクタ、HDDのSMART情報、周囲のノイズによる
ハードウェア内部エラーなど、PCにはセキュアな擬似乱数としての使用に耐える攻撃者に推測されない値がいっぱいそなわっているのだ。

参考:
http://tdiary.ishinao.net/20061120.html#p01
http://www.linux.or.jp/JF/JFdocs/Secure-Programs-HOWTO/random-numbers.html

>>683
マイクロ秒単位の現在時刻 + ユーザーのリモートアドレス + combined-LCG（線形合同法自体は、疑似乱数生成方法としてはセキュアな方法ではない。） が種となっている。
↑
それで充分。

/dev/urandom を乱数の種に使うように設定しよう。
↑
自己満足の世界

良い意味でも悪い意味でも、ＰＨＰ程度のスクリプト言語に何を求めているの？
と逆に問いただしたいものだ。

はげどう

>>684
> 良い意味でも悪い意味でも、ＰＨＰ程度のスクリプト言語に何を求めているの？

php程度って…、そのphpは銀行のシステムや証券会社のシステムでも使われてるよね？
まぁ大抵はaspだろうけどさ。

むしろPHPを使うのはこの程度の奴らかって思うけどな

だよな
１．設定が用意されている
２．PHPはLinux以外のOSも対象にしているのでデフォルトは違う
脳みそのある人間ならこう考えるのが普通だと思う俺の視点では
＞＞＞「phpらしい駄目っぷりだ。」
こいつ痛すぎるだろｗ

で、設定変更すればよりセキュアな環境を提供できるにも関わらず
自己満足などと言い切るのは、とてもプロだとは思えないな

> ２．PHPはLinux以外のOSも対象にしているのでデフォルトは違う

そういや、Windows はセキュアな擬似乱数発生器持ってないのかなー
Unix の /dev/urandom みたいなやつ

乱数発生は本来プログラミング言語レベルじゃなくて、OSがやるべき話
ハードウェアのノイズを取得するのはOSがやるのが一番効率いいし


ちなみに、乱数の安全性ってのは馬鹿にできない話だよ

「ハッカーズ その侵入の手口 奴らは常識の斜め上を行く」 にもあるように、
それでラスベガスのカジノでぼろもうけしたやつもいるしさ、オンラインゲーム(MMO)なんかでも
時間種乱数のせいでクラックされてゲームバランス崩れた例もある




>>689
> で、設定変更すればよりセキュアな環境を提供できるにも関わらず
> 自己満足などと言い切るのは、とてもプロだとは思えないな

激しく同意

いや、自己満足だろ。
クライアントから見て理解できない部分へのこだわりっていうのは、所詮は自己満足。
自己満足と分かった上でやるかやらないかだけだ。



つか、素人のくせにプロ面して語るのが激しくウザい。

俺はsmartyで挫折してcakephpでも挫折した男だけど、プロ意識は持ってます。

うちにはフロがありません。

そろそろ、セッション＝PHPじゃないって気が付こうぜ。

つーか、単発スレ使ってるなよ。

>>691
自分の事かｗ

携帯でセッション持たせようとするときって、どうやってる？

>>697
携帯から取得できる一意キーを元に、アプリ側でセッションを作成してる。

>>699
キャリアによるわ。
au だと EZ番号 (サブスクライバID) を常に送信するのがデフォルトだし。

個体識別番号を常に送信するのはプライバシー上問題あるが、セッションCookieにすら対応していない
糞キャリアドキュモの場合には、URIにセッションIDいれるというセッション固定攻撃の被害を受ける可能性のある
脆弱な実装しかできない。