SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

目的に応じて適材適所で使うPHPライブラリ

PHPで作成する携帯会員サイトの基本

目的に応じて適材適所で使うPHPライブラリ(11)


  • X ポスト
  • このエントリーをはてなブックマークに追加

ダウンロード sample.zip (14.7 KB)

URL埋め込み方式を用いる際のセキュリティ対策

 session.use_trans_sidパラメータによって付加されるセッションを示す引数「SessionID=XXXXXX」が推測され悪意あるアクセスに晒されるという危険性が考えられます。

 この危険性を回避するためにセッションIDが出力されるたびに値を新しいものに置き換えるPHP関数 session_regenerate_id()があります。

 HTTP_Session2ではregenerateId()というメソッドでsession_regenerate_id()関数を呼び出せます。

 このメソッドを使ってセッションIDを置き換えるメソッドをSession.class.php内にも実装します。

リスト16 index.php(抜粋)
function Session(){
# 略
    HTTP_Session2::regenerateId(true);
}

 セッションIDを置き換えるメソッドをコンストラクタに追加しています。

 このようにすることでSession.class.phpが呼ばれるたびにセッションIDが新しいものに置き換えられます。

index.php リロード時
index.php リロード時

 「トップ」リンクから再度index.phpにアクセスすると上記のようにセッションIDの値が前項のときの値と変わっているのが分かります。

URLからのセッションID漏洩について

 regenerateId()メソッドを使用した後、ブラウザのバックボタンで戻った際、画面を更新する際にセッションが切れてしまうことがあります。

 ブラウザの「進む」「戻る」での動作が多いと想定されるサイトや更新ボタンでの画面確認が多いサイトでは利用を避けたほうがいいです。

 また、外部へセッションIDが漏れないようにするため会員制サイトから直接外部サイトへリンクしない、リンクする際にはリファラを送出しないページを挟む、といった対策が必要となります。

ユーザー情報変更

 ユーザー情報変更はproofile.php内でSession.class.phpのupdateメソッドを呼び出して行います。

 POSTされたuser_id, 旧・新password, user_nameを渡してDB更新後、セッションも更新します。

リスト17 profile.php(抜粋)
// id取得
$user_id = $_POST['user_id'];
// 旧パスワード取得
$old_password = $_POST['old_password'];
// 新パスワード取得
$new_password = $_POST['new_password'];
// user_name取得
$user_name = $_POST['user_name'];

// セッションクラス
$ss = & new Session();
if($user_id && $old_password && $new_password && $user_name){
    $ss->update($user_id, $old_password, $new_password, $user_name);
}
リスト18 Session.class.php(抜粋)
function update($user_id, $old_password, $new_password, $user_name){
    $pdo = new PDO(dbType.":host=".MYSQL_HOST."; dbname=".MYSQL_DATABASE , MYSQL_USER, MYSQL_PASSWORD);
    // user_id, 旧パスワードでチェック
    $stmt = $pdo->prepare("SELECT id, user_id, user_name, uid FROM user where user_id = ? AND password = ?");
    $old_password = md5(str . $old_password);
    $stmt->execute(array($user_id, $old_password));
    $rowCount = $stmt->rowCount();
    if(!$rowCount) return false;
    
    // セッションからデータを取得
    $_userInfo = $this->getSession();
    // データ更新
    $stmt = $pdo->prepare("UPDATE user SET user_id = ?, password = ?, user_name = ? WHERE id = ?");
    $new_password = md5(str . $new_password);
    $stmt->execute(array($user_id, $new_password, $user_name, $_userInfo['id']));
    
    // 更新後のデータを再度セッションに置く
    $stmt = $pdo->prepare("SELECT id, user_id, user_name, uid FROM user where id = ?");
    $stmt->execute(array($_userInfo['id']));
    $row = $stmt->fetch(PDO::FETCH_ASSOC);
    HTTP_Session2::set('user', $row);
}

 updateメソッド内でセッション内のユーザーデータを更新しておくことで、次回以降ユーザーデータを参照する際にはDBまで見に行かずセッションを参照するだけでよいことになります。

次のページ
セッション更新時のデバッグ

修正履歴

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
目的に応じて適材適所で使うPHPライブラリ連載記事一覧

もっと読む

この記事の著者

山田 祥寛(ヤマダ ヨシヒロ)

静岡県榛原町生まれ。一橋大学経済学部卒業後、NECにてシステム企画業務に携わるが、2003年4月に念願かなってフリーライターに転身。Microsoft MVP for Visual Studio and Development Technologies。執筆コミュニティ「WINGSプロジェクト」代表。主な著書に「独習シリーズ(Java・C#・Python・PHP・Ruby・JSP&サーブレットなど)」「速習シリーズ(ASP.NET Core・Vue.js・React・TypeScript・ECMAScript、Laravelなど)」「改訂3版JavaScript本格入門」「これからはじめるReact実践入門」「はじめてのAndroidアプリ開発 Kotlin編 」他、著書多数

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

WINGSプロジェクト 片渕 彼富(カタフチ カノトミ)

WINGSプロジェクトについて>有限会社 WINGSプロジェクトが運営する、テクニカル執筆コミュニティ(代表 山田祥寛)。主にWeb開発分野の書籍/記事執筆、翻訳、講演等を幅広く手がける。2018年11月時点での登録メンバは55名で、現在も執筆メンバを募集中。興味のある方は、どしどし応募頂きたい。著書記事多数。 RSS X: @WingsPro_info(公式)、@WingsPro_info/wings(メンバーリスト) Facebook

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/5430 2010/10/18 14:50

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング