【php】ログイン後、元いたページにリダイレクト

こんばんは。phpを勉強し始めたばかりの者です。宜しくお願いします。
会員制サイトを作っています。
そこで、
ページにログインなしで来ると、ログインページにリダイレクト、ログインすると、元いた場所にリダイレクトされるようにしたいです。
以下のような方法はセキュリティ的に問題ありますでしょうか？

セッションに戻るページを覚えさせて、
if (!isset($_SESSION["name"])) {
$_SESSION['return'] = $_SERVER["REQUEST_URI"];
header("Location: login.php");
exit;
}
ログイン処理を終えた後、
if(!empty($_SESSION['return'])){
$url = $_SESSION['return'];
header("Location: $url");
exit;
} else {
header("Location: top.php");// 戻るページがない場合、トップページへ
exit;
}
のようにして、戻ります。

が、期待した通りの動きはできたのですが、セキュリティ的に問題がないかどうか不安です。
もし、やめた方が良いのでしたら、どのような方法が考えられますでしょうか。
ご指導ください。宜しくお願いします。

ベストアンサー 回答No.1

この方法自体に特に問題はなく、むしろ$_SESSIONではなく$_GETで引き回す場合に発生するオープンリダイレクタ脆弱性にも対処出来ているので良い方法だと思います。

注意すべきは、（質問内容に関わらず）ログイン後に session_regenerate_id(true); を実行しているかどうか、というところですね。php.iniの設定でPHPSESSIDを$_GETでも受け入れるようになっている(非推奨)あるいはXSS脆弱性がある場合にセッションフィクセーション攻撃が成立してしまいます。

http://qiita.com/mpyw/items/7852213f478e8c5a2802

お礼 2015/09/24 11:17

お答えありがとうございます。
ご指摘されたところは、サンプルログインページに、XSS脆弱性対策としてsession_regenerate_id(true);していたので、このまま作ってみようと思います！
ご紹介いただいたページを精読するほど知識がまだ足りず……ゆっくりきちんと理解していきたいと思います。
ご丁寧にありがとうございました！