スレッド表示 | フラット表示〕 全トピック 920 件中 476 番目 次≫ ≪前

Session or cookie どちらを使うべき?

created: 2005-02-10 09:50 | modified: 2005-02-11 14:07 | reply: 2

[2121] Session or cookie どちらを使うべき?

user: Taka | created: 2005-02-10 09:50
はじめまして。
PHP始めたばかりなのですが、idとpasswordを使った認証をやりたいと思っています。

そこでidとpasswordの保存方法ですが、Sessionとcookieだとセキュリティを考えるとどちらがお勧めでしょうか?

宜しくお願い致します。
reply: 2125 返信 編集 削除

[2125] 保存の意味にもよりますが。

user: ごいんきょ。 | created: 2005-02-11 04:19
PHPの仕様で提供されるセッション管理機能でも、通常その認証にCookieを利用します。
ですが、データそのものはサーバ側に保存されます。

Cookieはクライアントに保存されます。

ということは、パスワードを守秘するには、サーバ側ではなく、Cookie情報としてクライアントに保存する必要があることになります。

どうでしょうか。

保存の意味にもよりますが、たぶんこういうことを聞きたかったんですよね?
違ったらすいません。
Parent: 2121  reply: 2126 返信 編集 削除

[2126] 私はセッション派です。

user: シロウ | created: 2005-02-11 14:07
割り込みですみません。
大体はごいんきょさんの書かれた通りです。

Zendジャパンの「セキュリティ指針」でお望みの答えが得られると思います。
http://www.zend.co.jp/tech/index.php?%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3%BB%D8%BF%CB

私はSSLでID・PW認証し、ユーザー情報を保存したセッションを作り。
普通のHTTPへSessionIDを渡す(POSTなど)事をしています。
Cookieだとこの壁を越えるのが面倒なので使いません。

あとPEARの認証クラスもSession使っているのでセッション派になりました。
http://pear.php.net/manual/ja/package.authentication.auth.php

普通のHTTP内ではSessionIDをCookieに持たせています。

重要情報を扱う場合は、今まで持っていたセッション情報を信用せず、
新たにID・PWで認証を行うなどしてセキュリティに気を使っています。

共有サーバーの場合セッションを保存する先に気を使ったり、DBに
保存したりで多少安全度を高められるかと思います。
Parent: 2125  返信 編集 削除
スレッド表示 | フラット表示〕 全トピック 920 件中 476 番目 次≫ ≪前
ページの一番上へ
Googleグックマークに登録 Yahooグックマークに登録 livedoorクリップに登録 @niftyクリップに登録 はてなブックマークに登録 deliciousに登録 Buzzurlに登録 FC2ブックマークに登録
最近更新された掲示板トピックス
管理人Blog
Yahoo Search

最近更新したNote
PHPマニュアル
今日のブックマーク
PHPマニュアル関数検索
関数名を入力し検索ボタンをクリック↑