hamada
bungu****@leo*****
2006年 3月 27日 (月) 09:52:29 JST
こんにちわ。 On Sun, 26 Mar 2006 00:09:12 +0900 Seiji Sogabe <sogab****@alles*****> wrote: > register_globals問題もですが、これもどうかと思う動作ですね。 PHPは「まず簡易である事」を主目的に設計された言語らしいので仕方ないのか なぁと思わなくもない(実際、手軽であるゆえに当方みたいなど素人でもそれな りに食いつけてる)のですが、やっぱりちょっと寂しいです(^_^;) > PHP と Web アプリケーションのセキュリティについてのメモ > i. Session Fixation(セッション固定) うわ、この手がありましたね。この ・セッション開始時にフラグを立てといて ・フラグが立ってないセッションは再生成 というアルゴリズムなら、先に当方が妄想してたようなややこしい動作をしなく ても簡単に実装出来ます。こりゃいいや(^_^) というか、こんな事も思いつけないなんてアタマ悪いな〜(T_T)>俺 これならtep_session_start()に数行書き加えるだけで所期の動作を実現出来そ うですね。 > function tep_session_start() { > session_start(); > if (!isset($_SESSION['initiated'])) { > tep_session_recreate(); > $_SESSION['initiated'] = true; > } > return; > } # MS1JR7以降限定…だと思う。 こんな感じでしょか? そのまんまですが(^_^;) はまだ
