セッション絡みのセキュリティ対策 まとめ
※自分なりのまとめです。あしからず。
1.クッキー使用を前提にする。
ini_set("session.use_trans_sid", "0");
ini_set("session.use_cookies", "1");
ini_set("session.use_only_cookies", "1");
ini_set("session.auto_start", "0");
session_start();
サーバ環境に依存しないことを目的にini_setにしてみました。
2.セッション鍵の定期的な変更
session_start();
session_regenerate_id(true); //PHP5.1.0以降で対応
3.プロテクターを入れる
http://www.peak.ne.jp/support/phpcyber/
4.携帯対応
後で。。。