Session管理してる?
DBで一意のsessionidを作ってやりゃーいいんだけどExpireとか
めんどくさい。
ASPやPHP4ならSession管理楽だよね。
>ASPやPHP4ならSession管理楽だよね。
ASPやPHP4が、自分に代わってhiddenのパラメータなり(POSTの場合)、
GETパラメータなりを管理してくれてるのでしょうか?
tcp/ipの接続を持続してるとか、勝手にクッキー使ってるってわけでは
ないと思うのだけど、どうやってSessionを実装しているのかなあ、と疑問
に思ったので。
ASPはcookie投げてるという話を聞いたなあ。
僕はperl + Apahce::Session with cookie ばっかだから知らないけど。
デフォルトで勝手にクッキーを使うよ。クッキーを使えない端末の
ときは、configureの時に--enable-trans-sidしてあれば
全部のリンクにsession idをつけてくれる。
ただ、<a href=だとつくんだけど<a taskだとだめなんだよなぁ〜
というわけでHDMLの場合は自分でつける必要アリ
Apache::Sessionってどうよ?
セッションのガベージコレクションの機能とかないんじゃなかったっけ?
俺は1リクエスト毎にデータベースに書きに行くのがすごくうざくって、
ちょっと触っただけでやめちゃったけれど・・・
そりゃそれ以外ないよな。
あとは携帯電話の固体IDだけど、503iから使えるようになった奴ですが、
210iではどうだろう?
セッションタイムアウトは自動でやってくれないね。
タイムスタンプのフィールド用意しておいて、cronで削除が一般的かな。
mod_perl下で使えば、かなり使えると思う。
言う事なくなっちゃった(笑)
そういや、mod_perlのスレないね...。ま、perl板でも繁盛してなかったけど。
>>7
あと、URLにセッションIDを埋め込む方式があるね。
携帯とPCを両用したいときとかによくつかってます。
>携帯とPCを両用したいときとかによくつかってます。
PATH_INFOですか?
それもGETパラメータ(URL)の一種だとは思いますが、
QUERY_STRINGと比べて特に携帯だからPATH_INFOを使う
意味も無いような、、、
逆にPATH_INFOでも使う分には同じなのでどちらでもいいし、
QUERY_STRINGやPOSTパラメータはシステムによっては
自動的に解析される部分に入ってしまうだろうから、それらの
仕組みとぶつからないというメリットかな?
サイトってありますかねー?
ここ見たら?
http://www.itboost.co.jp/php/php_12.php
http://www.phpbuilder.com/columns/ying20000602.php3?print_mode=1
うぉぉぉ!まさにコレ!
http://www.phpbuilder.com/columns/ying20000602.php3?print_mode=1
MySQLでセッション管理したかったんだよねーー!!ロードバランサは
(いいものになると)結構お値段が張るので、TurboLinux ClusterServer
とかを使ってWWWのクラスタリングをしたかったんだけど、セッションを
どーしよーかと途方に暮れてたところでした!
電動ナナシさん、サンクス!これからも有益な情報をお願いしますです!
MySQLの方がいいのかな?
PATH_INFOじゃなくても、mod_rewriteで
ごにょごにょやる手もあるよ。環境変数として渡したり。
webのセッション管理にDBMSって関係有る?
PHPのインターフェースの部分が、DBMSによってセッション管理が
用意されている/いないの差があるということかな?
おれはPHPでないので知りませんが。
不要、ということで、PostgreSQL のような重装備の RDBMS よりも MySQL の
ような軽くて高速なデータベースが向いているということでしょ。
すでに PostgreSQL があってそれを使いたいということなら、別にそれでも
いいでしょ。セッションハンドラは別途書かないといけないというのはどの
RDBMS でも一緒。
衝撃の質問!
サーバーなんで都度requireしなければいけないのですが...
しかし、国際版PHPじゃないのがつらすぎる。Perl+DBIのほうが開発早かった
かもしれんッス
常に必要ってわけじゃない。
Web ページ間で変数を引き渡す手段が必要なときに有用ってだけ。
>>20
3.0.9 って思いっきりセキュリティホールがあるじゃん。
バージョンあげてもらうついでに国際化版にしてもらおう。
それが無理なら Perl を使ったほうがマジでいいぞ。
よくユーザ登録のページで情報を入力しsubmitして
確認画面がでますよね。でソースを見ると入力内容をHidden
で渡してるものもあれば、Hiddenを使用していないものもあります。
Hiddenを使用せず渡すのは、s_id見たいなものを
をキーにして入力内容をDBに毎回insertしてページ間でデータが
渡っているのでしょうか?それとも別の方法があるんですかね?
疑問だったので・・・。
まぁ普通はCookieだと思うが
なったときに面倒っすよ。趣味でPCだけ相手にしているときにはいいけど。
ソース見てhiddenがないのはどうなってるのかって聞いたから例としてcookie
と言ったまで。
そりゃ状況によって方法は変えますよ、わたしゃ。
Servlet ではセッションはサーバのメモリに保持する。
ファイルやDBはオーバーヘッドがあるのであまりないね〜。
PHP4 はファイルですよね(よく分からんけど)
>>24
クッキーに情報自体を保持するのは、一般的?に
セッション管理とは言いにくいような。。。
# セッションIDは別
セッション終了時に消えるクッキーをセッションクッキーって
言うの知らないの?
怒ってる〜?
そうだね。レスポンスヘッダに設定する有効期限を無しに
すればセッションが続く限りクライアントが情報を保持するよね。
んで、そのセッションクッキーってのを使うと
セッション管理してるということになるの?
hidden と同じでクライアントに投げたら投げっぱなしなので
管理とは言いがたいような気がします〜。
毎回切断される HTTP で継続して情報を保持するために
サーバでランダムな ID を発行し、それをキーにクライアントと
やりとりを行う。
それをセッション管理と言う。
そのやり取りって、クッキー使ってんじゃないの?
もちろん、擬似的なセッション維持だとは思うけど。
データをどこにもつかって事だと思うけど、
cokkieはドメイン毎に4Kまでの制限があるから、
ふつうサーバーでデータは保持する。
いづれかでやりとりされる。
・クッキー
・get リクエスト
・put リクエスト
このIDを普通はセッションIDっていうよね。
最近の Java や PHP では意識はしなくてもいいけど。
>・get リクエスト
>・put リクエスト
結局hidden以外はcookieじゃん。
なの。現行のステートマネージメントは
・Cookie の受け渡し
・HIDDEN フィールド
・URL Rewrite
で行われている (Servet の話だけど)。
ちなみにセッション ID がランダムに振られるシステムは設計が
おかしい。
・クッキー <- Cookie の受け渡し
・post リクエスト <- HIDDEN フィールド
・get リクエスト <- URL Rewrite
私の表現がおかしい〜?
URL Rewrite は クッキーが使えないときにAP サーバが
セッションIDを URL に Rewrite するっていうものだよね。
最近、セキュリティ的に問題があるので使ってはいけないというのが
良く言われてるけど。
セッションIDがランダムに振られるのがおかしいというのはなぜ〜?
最近はAPサーバにセッション管理が実装されてるから
あまり意識してないもので。。。
一意性の問題?
維持したままシャッフルすると思われる。ちょっと揚げ足を取っ
てみただけ。
現行のステートマネージメントメカニズムは、どの方法も SSL と
組み合わせないとセキュリティ的に問題ありだね。というか
そんなの Web の常識だったはずなのに、なぜ突然ひろみちゅが
騒ぎ始めたのか分からんよ。
URL Rewrite/HIDDEN フィールド
ソースを見れば一目瞭然。URL 欄にも表示される。ジャンプ先
サイトでは Referer ヘッダで参照可能 (ブラウザの種類と
バージョンにもよる)。自サイトを SSL 化しても Referer
ヘッダは漏れてしまうかも (なりすまし接続は無理だろうが)。
Cookie
丸見えでない分 URL Rewrite/HIDDEN フィールドよりまし
だが平文であることには変わりない。プロキシサーバなら
余裕で盗める。期限付きのはファイルで残る。
# 昔、クライアント側の IP アドレスを使ってセッション ID
# にハッシュかければセキュリティもバッチリでは? と発明
# しかけたが、程なくプロキシの存在を忘れているのに気づ
# いた。
クライアント側のクッキーにはIDのみで、
セッション情報はサーバ側に保存されるので
セキュリティ的には問題ない
と、どっかで読んだ覚えがあるんですが。
セッション情報ごと盗まれるのと等しい。ただ、情報が丸見えでは
なく、どのような情報か想像しずらいという人間的な利点があるだけ。
ユーザ認証後のセッション ID を盗まれたら、アプリケーションを
乗っ取られたのと事実上同じ。セキュリティを確保したければ SSL
と併用せれ。
セッション情報ごと盗まれるのと等しい。ただ、情報が丸見えでは
なく、どのような情報か想像しずらいという人間的な利点があるだけ。
ユーザ認証後のセッション ID を盗まれたら、アプリケーションを
乗っ取られたのと事実上同じ。セキュリティを確保したければ SSL
と併用せれ。
ID+有効期限を暗号化して発行すれば、
多少マシになる。
なんでもいいじゃない?
暗号化も複合化もサーバーでやるんだから
実際にやってるけど、SIDとログインタイムをある形式にフォーマットして
BASE64で暗号化して発行。クライアントから返されるSIDは形式のチェックで先ずはじく。
仮に、クッキー盗まれても有効期限内しか使えないし、
まあ、解読も可能だろうけど、一定期間でキーやアルゴリズム変えれば、
それなりに実用的だと思う。
なんか間違ってる?
つくったのはおいらでないので間違ってるかも
あったら意味ないでしょ。盗んだ側にとっては ID が暗号化され
ているかどうかなんて関係なく、盗んだ Cookie をそのまま送り
返せばよいのだから (だから >>39 でクライアント側の IP ア
ドレスをキーにハッシュかけようとした)。
あ、俺が考えてるのは中継サーバ等で Cookie が盗まれた場合ね。
総当りでのセッション ID 盗難防止という話だったら暗号化だけで
効果は高い。んーでも総当りなんて目立つ方法で盗もうとする莫迦
いるか? だから、わざわざセッション ID を暗号化してもたいした
効果がないと思っただけ。
クライアント固有の識別ID(macアドレスとか)を
簡単に取れる手段があるといいんですがねえ。
プライバシー的には問題おおありですが。
そういうの、MSならやってくれ・・・ないか。さすがに。
503iのような、固体識別番号取得タグをどのブラウザも実装してくれれば
話は簡単だけれども。
確認が入るのでプライバシー的な問題も無いと思うし、MSさん実装して
くれまいか。
いま(さらながらに)騒がれてるやつあるよね。
あれは相当驚異だよ。たぶん完全に防げてるサイトなんて数えるほど。
おれは54じゃないけど
クレジットカード情報がサーバ上ではまるみえで、
ブラウザのURL直打ちで見れちゃったというニュースなら読んだ。
http://hwj-www.hotwired.co.jp/news/news/business/story/20010625102.html
それとも SSL のポートを使って侵入 or 成りすましという話か?
実は知ってる人にはあたり前のことではあるが、C****S***-S********のことです。
解っててもそうそう防ぎ切れないもんでおれも困ってるの。もうここまでにしとくね。
きっとしかるべき機関なり人がしかるべきところで注意喚起してくれることを期待して。
マジできたら今まで言ったこと撤回するわ。
たとえばxxxx.php?id=123がありid部分を違う数字に
変えれば違う情報が表示されます。
直接入力された時は処理できないようにしたいのですが・・・。
サーバ側で何使ってるんだ?
CGIならREQUEST_METHODを見る
ServletならdoGet()とdoPost()で処理を分ける
GET がはじけるだろう。まにあるみれ。
セッションの登録について PHP4 マニュアルには
「変数名を保持する文字列または変数名からなる配列」
ってあるね。
Java だと Serializable なオブジェクト(Javabean とか)は
出来るのにね〜。
あきらめきれずこんなテストコード書いたらちゃんとカウントアプしてくれた。
<?php
class testFoo {
var $count;
function testFoo($i) {
$this->count = $i;
}
function inc() {
$this->count++;
}
function hello() {
$this->inc();;
echo("hello, " . $this->count . " times.\n");
}
}
session_start();
if (!isset($obj)) {
$obj = new testFoo(0);
session_register("obj");
}
?>
<html>
<h1>
<?php $obj->hello(); ?>
</h1>
</html>
/tmp覗いたら
obj|O:7:"testfoo":1:{s:5:"count";i:3;}
となんとなくシリアライズしてくれてる風味。
そのマニュアルの記述は、session_register(); の引数は
変数を表す文字列かその配列だよという意味だったんだね。
セッションIDの取得すればよいのですかね?
たとえばxxx.php?session_idのような感じでOKかな?
じゃ、Hiddenで渡すとき、nameは何になるのでしょうか?
疑問だったので・・・・・。
例:
$value=$HTTP_POST_VARS["hoge"];
これだとGET送信されたhoge(パラメータ名)の値は取れません。
phpの設定によっては使用できませんが。
各ユーザのセッション情報を特定するということじゃないのかな?
例えば、各ユーザでカスタマイズされたページを出力
するとか・・・。
必要性を感じないなら必要なし。
複数のHTTPセッションに渡ってクライアント情報を維持したいときに便利。
PHP4 でしょ? だったら session_start() するだけて
session_register() した変数をとりこんでくれるんだから
スクリプト側は session ID を意識しなくていいじゃん。
セッション終わっても情報を取っときたいってことね。
セッションタイムアウトってゆー概念がないの?
(ASPにあるよーなやつ)
あるよ〜。設定はphp.iniじゃなかったかな?覚えてなくてごめん。
消える確率とか設定あったよね。どうしてランダムなのか理解に苦しんだ。
二つのページを同時にアクセスした場合とかどうよ
セッション情報に「前のページ」とか残して、
それを信用して組んだりできないよね...
>二つのページを同時にアクセスした場合とかどうよ
二つは別セッションになるんじゃないの?
>セッション情報に「前のページ」とか残して、
>それを信用して組んだりできないよね...
セッション管理が大丈夫かどうかとは関係ない気が
>>85
それは、IEでなんか設定したときだけじゃない?
クッキーに配列を保存できますかね?
例えば、
$data=array(
"a" => "hoge1",
"b" => "hoge2"
);
SetCookie("hogehoge", $data);
こんな感じで$data配列を作成しクッキーに保存して、
$c_data=$HTTP_COOKIE_VARS["hogehoge"];
で、データを呼び出して
echo"$c_data[a]";
で出力できるようにしたいのですが、
なかなかうまくいかないです。
こんなスレに書いても、セッション使えで終わると思うが。
再びスレ違い?
Cookie は文字列しか受け付けないだろ?
マニュアル (http://www.php.net/manual/en/function.setcookie.php) を
見れば分かるが、引数は "string" と書いてある。
int setcookie (string name [, string value [, int expire [, string path [, string domain [, int secure]]]]])
マニュアルのサンプルコードにやりたいことのやり方が書いてあるぞ。
>それは、IEでなんか設定したときだけじゃない?
(・∀・)?
クッキーの寿命の話ね。
ひとつのブラウザで1つのセッションになる。
IEは、設定すればウィンドウごとに別セッションになる。
セッションで「前のページ」を保存って話題だから、パラメータでセッション変数渡すことは考えてない。
そんときはパラメータに前ページ情報つければなにも問題ないから。
>IEは、設定すればウィンドウごとに別セッションになる。
どうやってすんの?
クッキーのとこ?
なんないけど
age
クロスサイトスクリプティングでしょ?
あーホントだ、よく見りゃそうだ。どうもありがd
これで安心して眠れるぞヽ(´ー`)ノ
/tmpにセッションごとの変数の値ががんがんたまってます。
もういいやと思ったあたりで消すしかないんでしょうか?
100〜のスレッドの続きを読む