2007/06/14

php session を使った場合のセキュリティ、とか

セッションをsession.gc_maxlifetime で設定した秒数以上保持したい場合には、秒数を増すという手もあるけどセキュリティを考えると良くないので、ハートビートを使うという方法があるらしい。

ちなみにディフォルトは14400秒ー=23分
PHP と Web アプリケーションのセキュリティについてのメモ

IPA ISEC セキュア・プログラミング講座

PHP Security Consortium: PHP Security Guide

2007/06/11

PHP セッションタイムアウトに関して

PHP と Web アプリケーションのセキュリティについてのメモ

長いことセッションを維持しているページからのアクセスを制御する方法についてと
まちがって、phpのセッション使っちゃったときのデータ不整合を確認。

php.iniのsession.maxlifetime にて定義、普通は 1440 秒らしい