HTMLとPHPの連携についてのプログラムを書いて動かしたことがある人は多いと思います。 次のステップとして、書いたプログラムで実際にどのようなHTTP通信が行われているのかを覗くことによって理解を深めましょう。 リクエストパラメータを見てみ ...

PHPにはHTTPセッション管理モジュールが標準で付いてきます。このセッションモジュールには非常に重大なセキュリティ上の脆弱性が修正されずに残っています。その脆弱性とはセッションアダプションです。 セッションアダプションとは、 セッション固定 ...

デフォルトのPHPセッションモジュールは、 未初期化のセッションIDが送信された場合、 送信されてきたセッションIDを用いてHTTPセッションを初期化してしまう問題[1]があります。このため、 不正なセッションIDの利用を記録するには独自のセッション管理の ...

普段、何気なく使っているセッション機能や変数。理屈では理解していても、本当に思ったとおりに動作しているのでしょうか？ 特に、ガーベッジコレクションに焦点をあてて挙動を見てみましょう。 まずrecommendの設定を使うと、 session.gc_probability = 1 session ...

CookieやSessionについてよく聞くけどよく分からない〜状態だったので、認証におけるセキュリティについて勉強してみました。 Basic認証 簡易的な認証で、一旦401（unauthorized）を返し、idとpasswordの入力画面で入力した値で再度リクエストします。 Basicの後ろの ...

アプリケーション作成に不可欠なセッション変数ですが、セッションを 正しく消さなければ不具合の原因のみならず、脆弱なアプリケーション となってしまいます。 正しくセッションを消す方法を知っておきましょう。 PHPアプリケーションを作成する時に ...