php session cookie 概念
- php&mysql会員制サイトでのsessionについて色々と調べましたが、cookieを利用せずにログイン・ログオフ状態が表示される理由が分からず、お答えいただきたいです。
- ログイン直後のページではsessionが設定され、その他のページではsessionが空かどうかでログイン状態を判断しています。セキュリティ関連の処理は今後の予定です。
- 個人サイト作成中で、php&mysqlを使用して会員制サイトを作成していますが、sessionについて理解が不十分で、cookieを使用せずにログイン状態を管理している理由を教えてください。
- ベストアンサー
php session cookie 概念
いつもお世話になっております。 php&mysqlにて会員制サイトを作成中です。 sessionを用いて期待する動作は実現できたのですが、どうしても理解できないことがあります。 sessionについて色々と調べますと、 1)サーバーサイドで処理する方式(URIに埋め込む) 2)クライアントサイドで処理する方式(cookieに渡す) となっております。 ところが、 作成中のサイトでは、cookieを利用していないのですが、URIにも何も付加されていません。 それでも、ログイン・ログオフ状態はそれぞれ望む通りに表示されています。 これは一体どういうことなのか、お分かりになる方がいらっしゃいましたらご回答をお願い致します。 以下に大まかなコードを。 ログイン直後のページ session_start(); session_unset(); if(!isset($_SESSION["user_session"])){ session_register("user_session"); $_SESSION["user_session"]=$hoge; } その他のページ session_start(); $hoge=$_SESSION["user_session"]; if(!empty($hoge)){ echo "ログインしてません"; }else{ echo "ログインしてます"; } 以上のようなものです。 マイページはIDとパスワードで認証しており、本人以外は見ることができないのですが、その他のページはログインすれば誰でも見ることができるようになっています。 現段階で特に暗号化などの処理は施しておりませんが、セキュリティー関連は今後の作業として予定しております。 個人サイトを作り始めて半年で、色々と不勉強な部分、理解が不十分な部分がございます。 分かりやすく説明いただけると助かります。
- nori1969
- お礼率72% (16/22)
- PHP
- 回答数1
- ありがとう数7
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
文面を見る限り、$_SESSION変数の概念が理解されてないのかな、と思われます。もし私の認識違いでしたらすみません。 $_SESSIONという変数が、サーバサイドでクッキーの役割をしてくれる、と思ってもらってよいかと思います。 私が知る限り「画面遷移しても一定の変数=値を保持し続ける」方法として ・サーバサイドで処理するURI(?in_ymd=20080225&kbn=1 など) ・クライアントのクッキーに渡す ・サーバサイドの$_SESSION変数を使用する の3種類があります。 ソースを拝見する限り、3番目の$_SESSION変数を利用してうまくセッションが確立されているかと思います。cookieを利用していなく、URIにも何も付加されていなく、「どうしてなんだろう?」と思われるということはセキュリティ的にもOKではないかと思います。URLに平文で表示されては危険ですからね。 $_SESSION変数は上手に使うと効果的です。いろいろな場所で使用することを見越し、場面場面でクリアしやすい2次元連想配列($_SESSION['auth']['login_id']のように)にすることをおすすめします。 また認証情報だけでなく、Form入力値の受け渡しにも利用できます。 ちなみに$_SESSION変数には有効保持時間があります(確かデフォルトで25分ほど)。無操作で30くらい放置すると、自動クリアされます。 いずれにしても$_SESSION変数を使用することが常道となってますので、知らず知らずのうちに、マスターされてしまったのかな、と思います。
関連するQ&A
- COOKIEを用いたセッション管理
PHPでCOOKIEを用いたセッションチェックをしようとしています。 トップページを表示する関数とセッション管理の関数に分けて処理をしています。 function index(){ session_start(); if($this->CheckSession()) ログインのページ else ログオフのページ } function CheckSession(){ if(!$_COOKIE["hoge"]) DBにセッションID(COOKIE["hoge"]の値)を入れる setcookie("hoge",session_id()); return false; else return true; } このとき更新ボタンを押すたびにCOOKIEの値が変わります。 なぜでしょうか?
- ベストアンサー
- PHP
- phpのsessionとcookieについて
質問は以下に2つです。 プログラムの説明は、pass,idから認証を行い、sessionidを発行します。二度目の以降はsessioidから認証します。 sidpost.phpからpostでIDとパスワードを入力させます。 データベースはid, pass, sidの3つのカラムがあります。 <?PHP require_once'DB.php'; session_name("sid"); session_start(); ?> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> </head> <body> <?php $id = $_POST['id']; $pass =$_POST['pass']; $cookie = $_COOKIE['sid']; $sid = session_id(); //データベース参照 //プレースホルダーを使用 //id からpassを参照する //cookie から sidを参照する $data=$sth->fetchRow(DB_FETCHMODE_ASSOC);//参照したデータを$dataの連想配列に格納 //sid保存のプレースホルダー $sth2 = $dbh->prepare('UPDATE accountid SET sid=? WHERE id=? AND pass=?'); //cookieが保存されていない場合 if(!isset($cookie) && isset($pass) && isset($id)){ //idとpassから認証 if($pass === $data['pass']){ $sth2 = $dbh->execute($sth2, array($sid, $id, $pass)); echo "初めてのログインsid登録"; } //sidがある場合cookieとデータベースのsidを比較 }else if(isset($cookie)){ if($cookie == $data['sid']) echo "sidあり成功"; //クッキーがあり、データベースと一致しない場合,sidを破棄する }else{ echo"あるはずのクッキー" .$COOKIE['sid']."<br>"; $_SESSION=array(); setcookie('sid', '', time()-3600); session_destroy(); echo "ないはずのクックキー".$_COOKIE['sid']; } //それ以外は入力フォームにリダイレクト }else{ header("location: ./sidpost.php?error=error"); } $dbh->disconnect(); ?> </body> </html> 上のようなセッション管理のプログラムを書きました。 質問は2つありまして、 ・1つめは、通常セッション管理を行う際の、条件はどのようにするのが一般的ですか? IDとパスワードがデータベースと一致する場合としない場合の2通り、cookieがある場合、ない場合の2通り、もしcookieがある場合は、データベースの値と一致する場合としない場合の2通りが考えられます。一番最適な条件文はどのようにすればよいでしょうか? またその処理はどのようにすればよいのでしょうか。 例えばcookieがあり、データベースと一致しない場合、$_SESSIONの初期化、setcookieでクッキーの削除、session_destroy()するなど。。。なにかよくわからなくなってしまいました。 ・二つ目は、 上のプログラムではじめsession_name('sid')およびsession_start()を宣言し、クライアントとサーバに$sid=session_idを発行しています。なので、$_COOKIE['sid'];の値には session_id()($sid)になっているはずです。 下のほうで、セッションの管理を行う際、 //クッキーがある場合 else if(isset($cookie)){ if($cookie == $data['sid']) echo "sidあり成功"; //クッキーがあり、データベースと一致しない場合,sidを破棄する }else{ echo"あるはずのクッキー" .$COOKIE['sid']."<br>"; $_SESSION=array(); setcookie('sid', '', time()-3600); session_destroy(); echo "ないはずのクックキー".$_COOKIE['sid']; } クッキーがあり、データベースと一致しない場合に、sessionおよび、cookieの破棄をしています。この前後でechoをもちいて$_COOKIE['sid']の値を出力すると、 破棄するの前のechoでクッキーが表示されず、 破棄したあとのechoでクッキーが表示されました。 なぜこのような結果になるのですか、逆では?と思いました。
- 締切済み
- PHP
- [PHP]セッション破棄について
はじめまして。 phpを始めて1週間の初心者です。 現在、ホームページでログイン処理とログアウト処理をphpのセッションを使って作成しています。 今回質問させて頂くのはログアウト処理についてです。 ログアウト処理をでセッションを破棄する際に http://oshiete1.goo.ne.jp/qa3224862.html を参考にして下記の処理を行わせています。 -------------------- logout01.php -------------------- <?php session_start(); $_SESSION = array(); if(isset($_COOKIE[session_name()])){setcookie(session_name(),'',time()-4200,'/');} session_destroy(); header("location: http://~トップページのURL~/"); ?> -------------------- 確認をしたところ、ログインしたユーザの情報は削除されているようでした。 また、http://oshiete1.goo.ne.jp/qa3224862.htmlを参考に下記のようなログアウト処理も行わせてみました。 -------------------- logout02.php -------------------- <?php session_start(); unset($_SESSION['access']); header("location: http://~トップページのURL~/"); ?> -------------------- 同じく確認したところ、ログインしたユーザ情報は削除されているようでした。 -------------------- 環境 -------------------- <サーバ> 【OS】 windows XP(テスト環境)、CentOS 5.2(公開環境) 【PHP】 5.2.6 【Apache】 2.2 <クライアント> 【OS】 windows XP 【ブラウザ】 Firefox 3.0.8 IE 7 -------------------- -------------------- 質問 -------------------- (1)logout01.phpとlogout02.phpの違いは何でしょうか。 (2)「unset($_SESSION);」は使用すると「$_SESSION」が使えなくなるとのことですが、 それはphpを再インストールしない限りは使えなくなるということでしょうか。 それとも、ブラウザを再起動すれば使えるという意味でしょうか。 (3)「unset($_SESSION);」と「unset($_SESSION['access']);」では何が違うのでしょうか。 (3)セッションを使用するとサーバ側にセッションIDを保存したファイルが保存され、 クッキーがクライアント側に保存されるとのことですが、logout01.phpとlogout02.phpを 実行した場合、サーバ側のセッションIDを保存したファイルとクライアント側のクッキーを 保存したファイルは削除されているのでしょうか。 (4)セッションの有効期限を指定していないため、logout01.phpとlogout02.phpを実行せずに ブラウザを終了させた時もログインしたユーザ情報は削除されているようでしたが、 この場合もサーバ側のセッションIDを保存したファイルとクライアント側のクッキーを 保存したファイルは削除されているのでしょうか。 初歩的な質問で申し訳御座いませんがよろしくお願いします。
- ベストアンサー
- PHP
- sessionとcookieの設定内容の区別
セッションとクッキーの使い分け方法を教えていただけないでしょうか? 簡単に言えばセッションがサーバサイド、クッキーがクライアントサイド、 セッション内容はブラウザ切れば消える(残すことも出来る)、クッキーはブラウザに残る、 と言うことは分かっているのですが、実装の仕方が分かりません。 例えばログインフォームでは$_SESSION['name']、$_SESSION['password']を回す・・・というのは分かります。 認証が終われば$_SESSION['name']、$_SESSION['password']は破棄して$_SESSION['login']=TRUE等を使うのではないかと思っております。 (そうではなくて、認証後は全て$_COOKIEで処理するのでしょうか?) で、$_COOKIEにはsessionIDが入っていると。 しかしながら、ブラウザ切っても暫くしてまたサイトを訪れたときにログイン状態が続くようにするにはどのようにすればいいのでしょうか? $_COOKIEにその情報を格納するのだと思うのですが、例えば$_COOKIE内にユーザidやlogin=OKのような文字を入れているとブラウザから見えてしまいます。 勿論ハッシュ化をして簡単には把握できないでしょうが、ここにはどんな情報が格納されているのか見当も付きません。 具体的な$_SESSION、$_COOKIEに入れるものと、サイトでの各々の実装法を教えていただけないでしょうか?
- ベストアンサー
- PHP
- PHPのセッションについて。
<?php if(isset($_POST['cmdSubmit'])){ session_start(); $user = $_POST['user_name']; $_SESSION['user_name'] = $user; header('Location:./test.php'); } ?> アンケートフォームの内容をセッションに入れて 別ページで <?echo $_SESSION['user_name'];?> という感じで出力させたいのですがうまく行きません。 セッションに登録されているかチェックするために 移動する前にecho $_SESSION['user_name']; で内容が表示されるかどうか確認したのですが そのときは問題なく内容が表示されるので、 headerで他のページに移動する前までは問題なさそうだと思います。 なにかアドバイスいただけたらとおもいます。 よろしくおねがいします。
- ベストアンサー
- PHP
- PHP SESSION 設定について
PHP(レンタルサーバー:5.3.6)(ローカル:5.3.26)を使用しています。 簡単なログインフォームを作っていました。 ローカルでテスト運用したところ、問題なく動作していたのでレンタルサーバーにアップロードしたところ、SESSIONが動いていない(?継承していない?)ことに気づきました。 そこでphpinfoを確認すると レンタルサーバーは、 session.cookie_httponly=1(On) session.cookie_secure=1(On) になっていました。XSS攻撃に全部ではないけどレンタルサーバーの設定だと有効だということなので、ローカルもレンタルサーバーの設定に合わせたいと思っています。 ※設定をoffにすると問題なく動作します。 sample2.phpで、「$_SESSION['sample_title']」が表示されなくなってしまいました。 どのようにすれば、sessionが正しく動作するかご教授お願いいたします。 抜粋スクリプト ■sample1.php session_start(); session_regenerate_id(TRUE); $_SESSION["sample_title"] = "PHPのSESSION"; //セッション登録 echo "$_SESSION['sample_title']に代入した値は「<?php echo $_SESSION['sample_title'] ?>」です。"; echo "<a href = 'sample2.php'>次のページ</a>"; ■sample2.php session_start(); session_regenerate_id(TRUE); echo "受け取ったセッション変数の値は「".$_SESSION['sample_title'] ."」です。";
- ベストアンサー
- PHP
- phpのセッションについて質問です
phpで会員制サイトの制作を勉強中です。 pdoでmysqlデータベースに接続しています。 セッションの「session_set_cookie_params」について質問ですが、 session_set_cookie_paramsで有効期限を設定する場合、 ログイン時にsession_set_cookie_paramsでセッションの有効期限を設定し、 他のページではsession_start()さえ記述すれば、 有効期限を過ぎると勝手にセッション変数のデータを空にしてくれるのでしょうか? それとも全てのページにsession_set_cookie_paramsを書かなければならないのでしょうか? プログラムを書いている上でセッションの動作がおかしい(有効期限が過ぎてもログアウトしない)のでsession_set_cookie_paramsの記述がおかしいのかと思い、質問しました。 また、セッション変数の有効期限を変数毎に個別に設定して削除する方法はないのでしょうか? ご回答、よろしくお願いします。
- ベストアンサー
- PHP
- cookie とセッションの設定について
(1) cookie とは java script を使った技術なの?逆に java script を使わない cookie はありますか? (2) ウェブページのログインが切れるセッションの設定は java script で書かれてあるの?
- ベストアンサー
- Java
- セッションの削除
例えば www.hoge.com/foo/index.php で session_start(); setcookie("bar",session_id(), time()+3600); として画面遷移を行いながら登録作業を行い、 完了画面regist.php で session_start(); $_SESSION = array(); if (isset($_COOKIE[session_name()])) { setcookie(session_name(), '', time()-42000); } session_destroy(); としましたが$_COOKIE["bar"]が初期化されません。 どのようにしたら良いでしょうか? 教えてください。 宜しくお願いします。
- ベストアンサー
- PHP
- PHPセッションの有効期限の調整
ログイン処理を有するサイトをPHPで記述しています。ログインがあればセッション変数に値を格納し、このデータがあれば、再度ページのアクセス時にパスワードを要求を省略するようにプログラムを進めています。 ここで質問なのですが、セッションが有効になっているあいだに、対象ページへのアクセスがあったときに、そのセッションの期限を延長する方法はありますでしょうか。 また、session.cookie_lifetimeは、プログラム内でクッキーの制御を特に明示していない場合は、どのタイミングが起点として時間が決まるのでしょうか。
- ベストアンサー
- PHP
お礼
お礼が遅くなり、大変失礼致しました。 ご指摘の通り、$_SESSION変数に対する理解不足でした。 質問文中にて触れた2つの方式ではなく、$_SESSIONはサーバーサイドで変数を保持できるものだったのですね。 2次元連想配列についても調べて活用してみたいと思います。 これでユーザー管理ができそうです。 本当にありがとうございました。 あ、質問文中の「ログインしてます」「ログインしてません」は逆でした。すみません^^;