[simple-way:~] CTO% cat 2009年04月29日19:47.txt
以下のコンテンツは非常に参考になります。
PHP でセッション変数、Cookie を使用する際のセキュリティ対策について
このコンテンツを参考にうちのシステムのセッションライブラリも更新しました。実際には上記のコンテンツを参考にもう少し厳格に管理しています。
PHPはセッション管理を便利にしてくれているんだけれど、その反面脆弱性も多いですね。できる限りPHPのお助け機能は使わずに管理した方が良いと思います。特にURLからセッションを回復する機能はプログラム内で任意的に殺した方が良いですね。
[simple-way:~] CTO% []