5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Session管理してる?

1 :名無しさん@お腹いっぱい。:2001/05/23(水) 23:24 ID:ZWP7e.Mk
PHP3だとSession使えないから、id&passをhiddenで吐き出している。
DBで一意のsessionidを作ってやりゃーいいんだけどExpireとか
めんどくさい。

ASPやPHP4ならSession管理楽だよね。

45 :名無しさん@おへそいっぱい。:2001/06/26(火) 17:27 ID:???
>>44 その暗号化のキーは?

46 :名無しさん@おへそいっぱい。:2001/06/26(火) 17:28 ID:???
>>44 その暗号化のキーは?

47 :名無しさん@お腹いっぱい。:2001/06/26(火) 23:59 ID:DSIpbR1w
>46
なんでもいいじゃない?
暗号化も複合化もサーバーでやるんだから
実際にやってるけど、SIDとログインタイムをある形式にフォーマットして
BASE64で暗号化して発行。クライアントから返されるSIDは形式のチェックで先ずはじく。
仮に、クッキー盗まれても有効期限内しか使えないし、
まあ、解読も可能だろうけど、一定期間でキーやアルゴリズム変えれば、
それなりに実用的だと思う。
なんか間違ってる?

48 :名無しさん@お腹いっぱい。:2001/06/27(水) 00:07 ID:???
Crypt::Blowfishで暗号化でした
つくったのはおいらでないので間違ってるかも

49 :名無しさん@おへそいっぱい。 :2001/06/27(水) 00:52 ID:DNFpNq1I
いくら強力な暗号化アルゴリズムを使っても、キーがサーバ側に
あったら意味ないでしょ。盗んだ側にとっては ID が暗号化され
ているかどうかなんて関係なく、盗んだ Cookie をそのまま送り
返せばよいのだから (だから >>39 でクライアント側の IP ア
ドレスをキーにハッシュかけようとした)。

あ、俺が考えてるのは中継サーバ等で Cookie が盗まれた場合ね。
総当りでのセッション ID 盗難防止という話だったら暗号化だけで
効果は高い。んーでも総当りなんて目立つ方法で盗もうとする莫迦
いるか? だから、わざわざセッション ID を暗号化してもたいした
効果がないと思っただけ。

50 :名無しさん@おへそいっぱい。:2001/06/27(水) 01:02 ID:???
すまん、ハッシュではなく可逆符号化だ…。

51 :名無しさん@お腹いっぱい。:2001/06/27(水) 02:33 ID:IVYsrfFE
間にProxyが入ろうがどうしようが
クライアント固有の識別ID(macアドレスとか)を
簡単に取れる手段があるといいんですがねえ。
プライバシー的には問題おおありですが。
そういうの、MSならやってくれ・・・ないか。さすがに。

52 :名無しさん@お腹いっぱい。:2001/06/27(水) 16:30 ID:???
proxyの問題を考えなければ簡単なんだけどね>セッションID盗難対策

503iのような、固体識別番号取得タグをどのブラウザも実装してくれれば
話は簡単だけれども。
確認が入るのでプライバシー的な問題も無いと思うし、MSさん実装して
くれまいか。

53 :名無しさん@お腹いっぱい。:2001/07/02(月) 04:53 ID:???
SSL使え

54 :名無しさん@お腹いっぱい。:2001/07/02(月) 21:19 ID:T7UPCPm6
だめ。SSLで守れたと思っちゃだめ。はー
いま(さらながらに)騒がれてるやつあるよね。
あれは相当驚異だよ。たぶん完全に防げてるサイトなんて数えるほど。

55 :名無しさん@お腹いっぱい。:2001/07/02(月) 22:08 ID:pL9j.pM6
まじっすか? それって何?

56 :名無しさん:2001/07/02(月) 22:14 ID:???
DoCoMoがNULLDOCOMOGW(だっけ?)を一般ユーザーに開放してくれればいいのに…

57 :名無しさん@お腹いっぱい。:2001/07/02(月) 22:19 ID:???
>>55
おれは54じゃないけど
クレジットカード情報がサーバ上ではまるみえで、
ブラウザのURL直打ちで見れちゃったというニュースなら読んだ。
http://hwj-www.hotwired.co.jp/news/news/business/story/20010625102.html

58 :名無しさん@お腹いっぱい。:2001/07/03(火) 04:13 ID:PMTadY4o
>>54 SSL とサイトへの侵入とがごっちゃになってないか?
それとも SSL のポートを使って侵入 or 成りすましという話か?

59 :名無しさん@お腹いっぱい。:2001/07/03(火) 09:04 ID:???
Cookieは楽々盗めるって話。進入は無関係だけど…

60 :名無しさん@お腹いっぱい。:2001/07/03(火) 09:58 ID:.3Xwbm0A
ソースはどこよ

61 :名無しさん@お腹いっぱい。:2001/07/03(火) 11:25 ID:???
言っちゃってもいいかどうか解らん。広めるならもっと思いっきり広めないとだし。
実は知ってる人にはあたり前のことではあるが、C****S***-S********のことです。
解っててもそうそう防ぎ切れないもんでおれも困ってるの。もうここまでにしとくね。
きっとしかるべき機関なり人がしかるべきところで注意喚起してくれることを期待して。

62 :名無しさん@お腹いっぱい。:2001/07/03(火) 11:47 ID:???
被害立証できるんだったらオフラインでなんかすりゃいいじゃん。

63 :名無しさん@おへそいっぱい。:2001/07/03(火) 13:41 ID:EU3mmkbg
SSL で Cookie 盗んで、なりすましまで出来るものですか?
マジできたら今まで言ったこと撤回するわ。

64 :名無しさん@お腹いっぱい。:2001/07/04(水) 15:40 ID:???
GETをはじく方法ってありますかね?
たとえばxxxx.php?id=123がありid部分を違う数字に
変えれば違う情報が表示されます。
直接入力された時は処理できないようにしたいのですが・・・。

65 :名無しさん@お腹いっぱい。:2001/07/04(水) 15:45 ID:???
直接って事は自サイト等からリンクされてる場合は良いの?

66 :名無しさん@お腹いっぱい。:2001/07/04(水) 16:23 ID:???
PHP4 のセッション変数って、オブジェクト(つまりクラスのインスタンス)は格納できるの?

67 :名無しさん@お腹いっぱい。:2001/07/04(水) 17:15 ID:???
>>64
サーバ側で何使ってるんだ?
CGIならREQUEST_METHODを見る
ServletならdoGet()とdoPost()で処理を分ける

68 :名無しさん@おへそいっぱい。:2001/07/04(水) 21:28 ID:U5Vc3q2o
>>64 Apache 使ってるなら httpd.conf か .htaccess で
GET がはじけるだろう。まにあるみれ。

69 :殿堂ナナシ:2001/07/04(水) 23:34 ID:???
>>66
セッションの登録について PHP4 マニュアルには
「変数名を保持する文字列または変数名からなる配列」
ってあるね。

Java だと Serializable なオブジェクト(Javabean とか)は
出来るのにね〜。

70 :66:2001/07/05(木) 01:19 ID:???
>>69 レスありがと。
あきらめきれずこんなテストコード書いたらちゃんとカウントアプしてくれた。

<?php
class testFoo {
 var $count;

 function testFoo($i) {
  $this->count = $i;
 }

 function inc() {
  $this->count++;
 }

 function hello() {
  $this->inc();;
  echo("hello, " . $this->count . " times.\n");
 }
}

session_start();
if (!isset($obj)) {
 $obj = new testFoo(0);
 session_register("obj");
}
?>
<html>
<h1>
<?php $obj->hello(); ?>
</h1>
</html>

/tmp覗いたら
obj|O:7:"testfoo":1:{s:5:"count";i:3;}
となんとなくシリアライズしてくれてる風味。

71 :名無しさん@お腹いっぱい。:2001/07/05(木) 12:38 ID:???
>>69
そのマニュアルの記述は、session_register(); の引数は
変数を表す文字列かその配列だよという意味だったんだね。

72 :名無しさん@お腹いっぱい。:2001/07/13(金) 13:41 ID:???
PHP4で各ユーザのセッションファイル(sess_*)の特定は
セッションIDの取得すればよいのですかね?
たとえばxxx.php?session_idのような感じでOKかな?
じゃ、Hiddenで渡すとき、nameは何になるのでしょうか?
疑問だったので・・・・・。

73 :名無しさん@お腹いっぱい。:2001/07/13(金) 14:14 ID:IqmDBVro
>>64
例:
$value=$HTTP_POST_VARS["hoge"];

これだとGET送信されたhoge(パラメータ名)の値は取れません。
phpの設定によっては使用できませんが。

74 :名無しさん@お腹いっぱい。:2001/07/13(金) 16:50 ID:???
>>72 セッションIDって今まで意識してなかったけど、取得しないとなにか不都合あるの?

75 :名無しさん@お腹いっぱい。:2001/07/18(水) 09:56 ID:pNSSuY1U
>>74
各ユーザのセッション情報を特定するということじゃないのかな?
例えば、各ユーザでカスタマイズされたページを出力
するとか・・・。

76 :名無しさん@お腹いっぱい。:2001/07/18(水) 13:58 ID:IiBzwOm6
>>74
必要性を感じないなら必要なし。
複数のHTTPセッションに渡ってクライアント情報を維持したいときに便利。

77 :名無しさん@お腹いっぱい。:2001/07/18(水) 21:33 ID:???
>>76
PHP4 でしょ? だったら session_start() するだけて
session_register() した変数をとりこんでくれるんだから
スクリプト側は session ID を意識しなくていいじゃん。

78 :77:2001/07/18(水) 21:36 ID:???
ああ、そうね。書いてから気づいたよ。
セッション終わっても情報を取っときたいってことね。

79 :PHP三日目:2001/07/18(水) 23:52 ID:???
PHPのセッションって
セッションタイムアウトってゆー概念がないの?
(ASPにあるよーなやつ)

80 :名無しさん@お腹いっぱい。:2001/07/21(土) 00:12 ID:???
あげましょう。

81 :名無しさん@お腹いっぱい。:2001/07/30(月) 11:20 ID:???
あげ。

82 :ナナシファン:2001/07/30(月) 11:55 ID:gBtO/HQg
>>79
あるよ〜。設定はphp.iniじゃなかったかな?覚えてなくてごめん。

83 :ほげ:2001/07/30(月) 16:03 ID:???
>>82
消える確率とか設定あったよね。どうしてランダムなのか理解に苦しんだ。

84 :名無しさん@お腹いっぱい。:2001/07/30(月) 19:30 ID:???
セッション管理って大丈夫?
二つのページを同時にアクセスした場合とかどうよ
セッション情報に「前のページ」とか残して、
それを信用して組んだりできないよね...

85 :名無しさん@お腹いっぱい。:2001/07/31(火) 04:37 ID:???
>>84
>二つのページを同時にアクセスした場合とかどうよ
二つは別セッションになるんじゃないの?

86 :コメント無しさん:2001/08/03(金) 14:08 ID:???
>>84
>セッション情報に「前のページ」とか残して、
>それを信用して組んだりできないよね...
セッション管理が大丈夫かどうかとは関係ない気が

>>85
それは、IEでなんか設定したときだけじゃない?

87 :名無しさん@お腹いっぱい。:2001/08/04(土) 13:47 ID:DQ4jThjY
クッキーに関しての質問です。
クッキーに配列を保存できますかね?
例えば、
$data=array(
"a" => "hoge1",
"b" => "hoge2"
);
SetCookie("hogehoge", $data);
こんな感じで$data配列を作成しクッキーに保存して、
$c_data=$HTTP_COOKIE_VARS["hogehoge"];
で、データを呼び出して
echo"$c_data[a]";
で出力できるようにしたいのですが、
なかなかうまくいかないです。

88 :コメント無しさん:2001/08/04(土) 17:46 ID:???
>>87
こんなスレに書いても、セッション使えで終わると思うが。
再びスレ違い?

89 :電動ナナシ:2001/08/04(土) 18:06 ID:yWM3EPUw
>>87
Cookie は文字列しか受け付けないだろ?
マニュアル (http://www.php.net/manual/en/function.setcookie.php)
見れば分かるが、引数は "string" と書いてある。
int setcookie (string name [, string value [, int expire [, string path [, string domain [, int secure]]]]])

マニュアルのサンプルコードにやりたいことのやり方が書いてあるぞ。

90 :85:2001/08/07(火) 15:59 ID:???
>>86
>それは、IEでなんか設定したときだけじゃない?
(・∀・)?

91 :コメント無しさん:2001/08/07(火) 16:12 ID:???
>>90
クッキーの寿命の話ね。
ひとつのブラウザで1つのセッションになる。
IEは、設定すればウィンドウごとに別セッションになる。

セッションで「前のページ」を保存って話題だから、パラメータでセッション変数渡すことは考えてない。
そんときはパラメータに前ページ情報つければなにも問題ないから。

92 :名無しさん@お腹いっぱい。:2001/08/10(金) 14:12 ID:RmKi09oM
>>91
>IEは、設定すればウィンドウごとに別セッションになる。
どうやってすんの?

93 :名無しさん@お腹いっぱい。:2001/08/10(金) 14:14 ID:???
インターネットオプションで変更するの

94 :名無しさん@お腹いっぱい。:2001/08/10(金) 14:26 ID:RmKi09oM
>>93
クッキーのとこ?
なんないけど

28 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)