この記事はブロックされています。続きを読みたい方はログインをして下さい。会員ではない方は新規会員登録をして下さい。


ワードプレスでショッピングカートを作ろう その5 セッションハイジャック対策を強化する

前回はセッションハイジャック対策としてセッションIDを変更する方法についてお話しました。
今回はセッションハイジャック対策をさらに強化する方法です。

まず攻撃者が架空のセッションIDを使って認証しようとしてきた場合の対策です。
PHPのセッションは存在しない架空のセッションIDを拒否するかと思いきや、実は架空のセッションIDに基づいてファイルが作成されてしまいます。まずいですね。

そこで、セッションIDが架空であれば拒否する処理を追加します。 セッションIDが架空であるかどうかのチェックはサーバーにファイルが存在するか否かで判定します。
判定は「session_start()」関数でセッションが開始される前に行います。
試しにセッションIDが存在するかテストしてみましょう。

関連記事