セッションは、アクセスしてきた人が次にアクセスした時も同一のマシン環境からかどうかを判別するための仕組みです。 セッションを開始する時には『セッションID』というものを発行します。 これはその場で生成したランダムな文字の並びなのでこの中に情報が盛り込まれているということはありません。 アクセスしてきたユーザとは何の関連性もないただのランダムな文字列を発行することは、セッションIDを他の情報から割り出されないようにするためには重要なことです。 発行したセッションIDは、一方はアクセスしてきた人のブラウザに保存してもらい、もう一方はサーバ側で持っておきます。 このブラウザ保存はクッキーと言われる仕組みを使っているのでブラウザがクッキーを受け入れない設定になっていればこの方法は使えないということになります。 ログイン認証の時には、ユーザ名とパスワードが一致すればセッションIDを発行してログイン状態となります。 そうなると認証以降は送られてきたセッションIDとサーバ側に保存されたセッションIDの合致を見てそこに結び付けられたユーザ名を見ることでユーザ判別ができるようになります。
セッションは、アクセスしてきた人が次にアクセスした時も同一のマシン環境からかどうかを判別するための仕組みです。
セッションを開始する時には『セッションID』というものを発行します。 これはその場で生成したランダムな文字の並びなのでこの中に情報が盛り込まれているということはありません。 アクセスしてきたユーザとは何の関連性もないただのランダムな文字列を発行することは、セッションIDを他の情報から割り出されないようにするためには重要なことです。
発行したセッションIDは、一方はアクセスしてきた人のブラウザに保存してもらい、もう一方はサーバ側で持っておきます。 このブラウザ保存はクッキーと言われる仕組みを使っているのでブラウザがクッキーを受け入れない設定になっていればこの方法は使えないということになります。
ログイン認証の時には、ユーザ名とパスワードが一致すればセッションIDを発行してログイン状態となります。 そうなると認証以降は送られてきたセッションIDとサーバ側に保存されたセッションIDの合致を見てそこに結び付けられたユーザ名を見ることでユーザ判別ができるようになります。
▼ session_start()の2つの挙動 <?php session_start(); // セッション開始! echo session_name(),'=',session_id(),"<br />\n"; // 発行されたセッションIDを表示 セッション開始を行うsession_start()には2つの挙動がある。 セッションIDが送られてこなければセッションIDを発行してクッキー保存するように送り付ける。 セッションIDが送られてきたら該当するセッション用ファイルを探してその中にデータがあればセッション配列$_SESSIONにセットする。 ▼ セッションIDが送られてきたかどうやって判断しているか session_name()の返す文字がセッションIDのキーになるので、例えばキーが"SID"なら$_COOKIE['SID'], $_POST['SID'], $_GET['SID']のどれかが送られてきたかを見ていることになる。つまり$_REQUEST['SID']一つを見てるのと同じ ▼ 架空のセッションIDを送るとどうなるか サーバ側が受け取ったセッションIDに該当するファイルを探しに行って、該当ファイルがないということになるとその架空のセッションIDに基づいてファイルが作成されてしまう。この挙動を知らないととんでもないセキュリティホールを作ってしまいかねないので注意。 ▼ 架空のセッションIDを弾くには session_start()が実行される前の段階で、送られてきたセッションIDが正当なものかチェックする必要がある。 <?php if (認証処理条件) { // 認証が成功すればセッションID発行 session_start(); } elseif (セッションIDに該当するファイルが存在する) { // セッションの継続処理 session_start(); } else { // セッションエラー発生 } 具体的に「セッションIDに該当するファイルが存在する」かチェックするには以下のコードになる。 $key = session_name(); : elseif (!empty($_REQUEST[$key]) && file_exists(session_save_path() . DIRECTORY_SEPARATOR . 'sess_' . $_REQUEST[$key]) ) { もちろん架空のセッションIDを弾く以外にもチェック項目はあります。 まず肝心なことは、認証をクリアしたらセッション変数にユーザ名を残すことで、次回からのアクセスでユーザ判別できるようにする。 <?php if (認証処理条件) { // 認証が成功すればセッションID発行 session_start(); $_SESSION['user'] = $_REQUEST['id']; } アクセスの途中でホスト名が変わったら弾くようにしたければこれもセッション変数にセットしておいて、アクセスの度にチェックすればよい。 <?php if (認証処理条件) { // 認証が成功すればセッションID発行 session_start(); $_SESSION['user'] = $_REQUEST['id']; $_SESSION['host'] = $_SERVER['REMOTE_HOST']; } elseif (セッションIDに該当するファイルが存在する) { // セッションの継続処理 session_start(); // セッション変数をロード if ($_SESSION['host'] != $_SERVER['REMOTE_HOST']) die("アクセスエラーを検出"); } アクセスの度にホスト名が変わる携帯などもあるのでこれだと実践的ではない。
セッション開始を行うsession_start()には2つの挙動がある。
session_name()の返す文字がセッションIDのキーになるので、例えばキーが"SID"なら$_COOKIE['SID'], $_POST['SID'], $_GET['SID']のどれかが送られてきたかを見ていることになる。つまり$_REQUEST['SID']一つを見てるのと同じ
サーバ側が受け取ったセッションIDに該当するファイルを探しに行って、該当ファイルがないということになるとその架空のセッションIDに基づいてファイルが作成されてしまう。この挙動を知らないととんでもないセキュリティホールを作ってしまいかねないので注意。
session_start()が実行される前の段階で、送られてきたセッションIDが正当なものかチェックする必要がある。
具体的に「セッションIDに該当するファイルが存在する」かチェックするには以下のコードになる。
もちろん架空のセッションIDを弾く以外にもチェック項目はあります。
まず肝心なことは、認証をクリアしたらセッション変数にユーザ名を残すことで、次回からのアクセスでユーザ判別できるようにする。
アクセスの途中でホスト名が変わったら弾くようにしたければこれもセッション変数にセットしておいて、アクセスの度にチェックすればよい。
アクセスの度にホスト名が変わる携帯などもあるのでこれだと実践的ではない。
session_start()を実行する前の段階でできること(使用できる関数など)と後の段階でできることに分けて考える。 ▼ session_start()コール前 ini_set("session.use_trans_sid", "0"); // URLに自動的にセッションIDを付加させない session_id(md5(uniqid(rand(), 1))); // セッションIDを指定 session_name("SID"); // セッションIDキー指定。デフォルトはPHPSESSID session_save_path("/path/to/localuser/tmp"); // 共有サーバの場合などでセキュリティ考慮 ▼ session_start()コール後 $sid = session_id(); // 現在のセッションIDを取得 $key = session_name(); // セッションIDキーを取得 session_regenerate_id(); // セッションIDを更新する $_SESSION['foo'] = 'bar'; // セッション変数に値をセット $_SESSION = array(); // セッション変数を初期化 session_destroy(); // セッション関係を破棄 session_destroy()によるセッション関係の破棄では、セッションファイルの削除のみで、セッション変数の値がメモリ上に残っていてもなにもしないし、保存されたクッキーに対してもなにも行わない。
session_start()を実行する前の段階でできること(使用できる関数など)と後の段階でできることに分けて考える。
session_destroy()によるセッション関係の破棄では、セッションファイルの削除のみで、セッション変数の値がメモリ上に残っていてもなにもしないし、保存されたクッキーに対してもなにも行わない。
セッションIDを他人に入手されてしまった場合、例え有効期限を設定していても期限内であれば不正利用される可能性があります。 こういう場合の対策として、アクセスする度にセッションIDを更新するいわゆるワンタイムセッションという方法があります。 方法はsession_regenerate_id()関数を使えばいいわけですが、この関数はバージョンによって挙動が違うのである程度バージョンの違いを吸収する方法を考えてみます。 session_start(); // 一旦セッションを開始して変数値をロード $tmp = $_SESSION; // 変数値を退避 $_SESSION = array(); // 空にする session_destroy(); // 破棄 session_id(md5(uniqid(rand(), 1))); // セッションID更新 session_start(); // セッション再開 $_SESSION = $tmp; // セッション変数値を引継ぎ
セッションIDを他人に入手されてしまった場合、例え有効期限を設定していても期限内であれば不正利用される可能性があります。
こういう場合の対策として、アクセスする度にセッションIDを更新するいわゆるワンタイムセッションという方法があります。
方法はsession_regenerate_id()関数を使えばいいわけですが、この関数はバージョンによって挙動が違うのである程度バージョンの違いを吸収する方法を考えてみます。
試しになにか作ってみましょう、ということで認証を行ってセッションを張るスクリプトを [inc_login.php] <?php // 設定 define( 'ADMIN_ID', 'admin'); // ユーザ名 define('ADMIN_PASS', 'ac0d18d42e66f85ced21654fc2c484d8'); // MD5ハッシュ化パスワード define( 'LOCATION', '/'); // ログアウト後飛び先 // 処理振り分け session_name('sid'); switch (true) { case login(): case exist_sid(): if (session_on()) break; default: page_login(); } // ユーザ名がセットされているかを最終確認 if (empty($id)) die("失敗しました。"); //-------------------------------------------------------// // 処理がここまでたどり着けば認証完了ということになる。 // // このスクリプトの処理はここまでで終わり、 // // include(require)元があればそちらに処理を移す // //-------------------------------------------------------// /** * ログイン用ページを表示 */ function page_login() { $cryptpass = req('cryptpass'); if ($cryptpass != "") { if (ctype_alnum($cryptpass)) die("英数字以外の文字も使用してください。"); if (strlen($cryptpass) < 8) die("8文字以上を入力してください。"); $cryptpass = md5($cryptpass); } // ログインフォーム echo <<<EOT <html><head> <meta http-equiv="Content-type" content="text/html; charset=Shift_JIS" /> <meta http-equiv="Set-Cookie" content="ON=1; expires=Tue, 1-Jan-2030 00:00:00 GMT" /> <script type="text/javascript" charset="UTF-8" src="//cache1.value-domain.com/xrea_header.js" async="async"></script> </head><body> <form action="{$_SERVER['SCRIPT_NAME']}" method="post"> [login認証]<br /> login:<input type="text" name="id" size="10" maxlength="20" /><br /> pass:<input type="password" name="pass" size="10" maxlength="20" /><br /> <input type="hidden" name="login" value="1" /> <input type="submit" value="認証" /> </form> <form action="{$_SERVER['SCRIPT_NAME']}" method="post"> <hr /> [ADMIN_PASS設定用]<br /> <input type="text" name="cryptpass" value="{$cryptpass}" size="45" maxlength="50" /> <input type="submit" value="pass暗号化" /> </form> </body></html> EOT; exit; } /** * セッションIDを発行または更新 */ function session_on() { $sid = req(session_name()); ini_set('session.use_trans_sid', '0'); session_start(); // セッション開始 if (empty($sid)) { // login時なら $_SESSION['id'] = $GLOBALS['id'] = req('id'); } else { // セッション継続 if (req('logout')) session_off(); // ログアウト処理 if (empty($_SESSION['id'])) return false; $GLOBALS['id'] = $_SESSION['id']; // セッションIDを更新 $tmp = $_SESSION; $_SESSION = array(); session_destroy(); session_id(md5(uniqid(rand(), 1))); session_start(); $_SESSION = $tmp; } if (empty($_COOKIE['ON'])) { // ブラウザがクッキー拒否なら $GLOBALS['hidden'] = "<input type=\"hidden\" name=\"" . session_name() . "\" value=\"" . session_id() . "\" />"; $GLOBALS[ 'param'] = session_name() . "=" . session_id(); } else $GLOBALS['hidden'] = $GLOBALS['param'] = ''; return true; } /** * ログアウト処理 */ function session_off() { setcookie(session_name(), "", time()-42000); // クッキーを消す $_SESSION = array(); // セッション変数を消す session_destroy(); // セッションファイルを消す header("Location: " . LOCATION); exit; } /** * リクエストデータ取得 */ function req($key) { return(isset($_REQUEST[$key]) ? $_REQUEST[$key] : ''); } /** * 正当なセッションIDが送られてきたか判断 */ function exist_sid() { $sid = req(session_name()); return(!empty($sid) && file_exists(session_save_path() . DIRECTORY_SEPARATOR . 'sess_' . $sid) ? true : false); } /** * 認証を行う */ function login() { $login = req('login'); if (!empty($login)) { $_REQUEST[session_name()] = ''; $id = req('id'); $pass = req('pass'); if (!empty($id) && $id === ADMIN_ID && !empty($pass) && md5($pass) === ADMIN_PASS) return true; } return false; } 使い方は簡単、認証をかけたいスクリプトからこのinc_login.phpを呼び出します。 まだセッションが張られてなければログイン画面を表示します。 パスワードはMD5ハッシュ化したものを設定するようにしています。 [foo.php] <?php include './inc_login.php'; // 認証スクリプト呼び出し echo <<<EOT <h3>{$id}さんログイン中</h3> <a href="foo.php?{$param}">リロード</a> | <a href="foo.php?logout=1&{$param}">ログアウト</a> <form action="foo.php" method="post"> {$hidden} <input type="submit" value="送信" /> </form> EOT; 特別にグローバル変数「$id」にはログイン時ユーザ名を、もしクッキー受け入れ拒否なら「$hidden」にはセッションID値入りのhiddenタグを、「$param」にはセッションID値入りのリクエストパラメータをセットして呼び出し元スクリプト側でも利用できるようにしています。
試しになにか作ってみましょう、ということで認証を行ってセッションを張るスクリプトを
使い方は簡単、認証をかけたいスクリプトからこのinc_login.phpを呼び出します。
まだセッションが張られてなければログイン画面を表示します。
パスワードはMD5ハッシュ化したものを設定するようにしています。
特別にグローバル変数「$id」にはログイン時ユーザ名を、もしクッキー受け入れ拒否なら「$hidden」にはセッションID値入りのhiddenタグを、「$param」にはセッションID値入りのリクエストパラメータをセットして呼び出し元スクリプト側でも利用できるようにしています。