セッションハイジャック
セッションを管理するセッションIDを盗むことにより、
悪意のあるユーザーが別のユーザーになりすますこと。
対策
同じセッションIDを使い続けていると盗まれてしまう可能性が
高くなるので、一定時間の経過や特定の行動でセッションを書き換える
session_regenerate_id();
現在のセッションIDを新しく生成したものと置き換える
<?php session_start(); $old_sessionid = session_id(); session_regenerate_id(); $new_sessionid = session_id(); echo "古いセッション: $old_sessionid<br />"; echo "新しいセッション: $new_sessionid<br />"; ?>
これで安心。
