セキュアな携帯サイト構築 - PHPプロ!Q&A掲示板
非公式の携帯サイトを構築しており、セッションを利用したく思います。
PHP5.1.4
携帯電話ではCOOKIEが利用出来ない為、どうしてもSESSIONIDを出力しhidden等で持たせる必要が出るかと思います。
もちろんページ遷移毎に
session_regenerate_id( true );
とするのですが、心もとないと思います。
100%セキュアな物は望んでおりませんが、より良いアイディアなどありましたらどなたか知恵をお貸し頂けませんでしょうか?
PHP5.1.4
携帯電話ではCOOKIEが利用出来ない為、どうしてもSESSIONIDを出力しhidden等で持たせる必要が出るかと思います。
もちろんページ遷移毎に
session_regenerate_id( true );
とするのですが、心もとないと思います。
100%セキュアな物は望んでおりませんが、より良いアイディアなどありましたらどなたか知恵をお貸し頂けませんでしょうか?
この質問への意見の募集は締め切られ、ポイントは既に配分されました。
意見を投稿することはできますが、ポイントを受け取ることはできません。
ツリー一覧
回答一覧
A01
answererdodoria [7月10日 20:09]
>非公式の携帯サイトを構築しており、セッションを利用したく思います。
>PHP5.1.4
>
>携帯電話ではCOOKIEが利用出来ない為、どうしてもSESSIONIDを出力しhidden等で持たせる必要が出るかと思います。
>もちろんページ遷移毎に
>
>session_regenerate_id( true );
>
>とするのですが、心もとないと思います。
>100%セキュアな物は望んでおりませんが、より良いアイディアなどありましたらどなたか知恵をお貸し頂けませんでしょうか?
僕の経験ですが、auや新しいVodafoneの場合はCookieが使えます。
もしかしたら、今のDoCoMo端末でも使えるものがあるかもしれません。
またセッションID以外に個々の端末を識別する仕組みとして、auのEZ番号やVodaFoneのUIDなどもあります。これらのIDを使うことでも、セッションの持続を実現できると思います。
多くの端末に対応する形で勝手サイトのセッション維持を行うには、やはりフォームやURLなどでセッションIDを引き回すのが一番かと思います。
#セキュアでないのは覚悟の上、ですね ^^;
>PHP5.1.4
>
>携帯電話ではCOOKIEが利用出来ない為、どうしてもSESSIONIDを出力しhidden等で持たせる必要が出るかと思います。
>もちろんページ遷移毎に
>
>session_regenerate_id( true );
>
>とするのですが、心もとないと思います。
>100%セキュアな物は望んでおりませんが、より良いアイディアなどありましたらどなたか知恵をお貸し頂けませんでしょうか?
僕の経験ですが、auや新しいVodafoneの場合はCookieが使えます。
もしかしたら、今のDoCoMo端末でも使えるものがあるかもしれません。
またセッションID以外に個々の端末を識別する仕組みとして、auのEZ番号やVodaFoneのUIDなどもあります。これらのIDを使うことでも、セッションの持続を実現できると思います。
多くの端末に対応する形で勝手サイトのセッション維持を行うには、やはりフォームやURLなどでセッションIDを引き回すのが一番かと思います。
#セキュアでないのは覚悟の上、ですね ^^;
A02
answererinfiniti [7月13日 18:57]
ID・サブスクライバIDをセッションIDとして利用するのは危険です。
他人のサブスクライバIDを盗むのは非常に簡単なので、一度漏洩してしまっては取り返しがつきません。
hiddenでセッションIDを引き回し、リジェネレートするのが無難でしょう。
また、リジェネレートするなら
session.use_trans_sid = 1
としてGETで引き回すと開発が楽です。
その場合はsession.nameを変更するといいと思いますよ。
他人のサブスクライバIDを盗むのは非常に簡単なので、一度漏洩してしまっては取り返しがつきません。
hiddenでセッションIDを引き回し、リジェネレートするのが無難でしょう。
また、リジェネレートするなら
session.use_trans_sid = 1
としてGETで引き回すと開発が楽です。
その場合はsession.nameを変更するといいと思いますよ。
ページのトップへ
SQLインジェクション対策は時と場合で使う関数が変わります。その時にあったものを使いましょう。