PHP3だとSession使えないから、id&passをhiddenで吐き出している。
DBで一意のsessionidを作ってやりゃーいいんだけどExpireとか
めんどくさい。
ASPやPHP4ならSession管理楽だよね。
Session管理してる?
1名無しさん@お腹いっぱい。
2001/05/23(水) 23:24ID:ZWP7e.Mk2001/05/23(水) 23:32ID:???
クッキーですれば?
2001/05/24(木) 01:17ID:???
厨房質問でごめんなさい。
>ASPやPHP4ならSession管理楽だよね。
ASPやPHP4が、自分に代わってhiddenのパラメータなり(POSTの場合)、
GETパラメータなりを管理してくれてるのでしょうか?
tcp/ipの接続を持続してるとか、勝手にクッキー使ってるってわけでは
ないと思うのだけど、どうやってSessionを実装しているのかなあ、と疑問
に思ったので。
>ASPやPHP4ならSession管理楽だよね。
ASPやPHP4が、自分に代わってhiddenのパラメータなり(POSTの場合)、
GETパラメータなりを管理してくれてるのでしょうか?
tcp/ipの接続を持続してるとか、勝手にクッキー使ってるってわけでは
ないと思うのだけど、どうやってSessionを実装しているのかなあ、と疑問
に思ったので。
2001/05/24(木) 10:42ID:???
5ナナシファン
2001/05/24(木) 10:55ID:X3JWHld. >>3
デフォルトで勝手にクッキーを使うよ。クッキーを使えない端末の
ときは、configureの時に--enable-trans-sidしてあれば
全部のリンクにsession idをつけてくれる。
ただ、<a href=だとつくんだけど<a taskだとだめなんだよなぁ〜
というわけでHDMLの場合は自分でつける必要アリ
デフォルトで勝手にクッキーを使うよ。クッキーを使えない端末の
ときは、configureの時に--enable-trans-sidしてあれば
全部のリンクにsession idをつけてくれる。
ただ、<a href=だとつくんだけど<a taskだとだめなんだよなぁ〜
というわけでHDMLの場合は自分でつける必要アリ
6俺もナナシファンだったり
2001/05/24(木) 12:10ID:VUBEv.zk >>4
Apache::Sessionってどうよ?
セッションのガベージコレクションの機能とかないんじゃなかったっけ?
俺は1リクエスト毎にデータベースに書きに行くのがすごくうざくって、
ちょっと触っただけでやめちゃったけれど・・・
Apache::Sessionってどうよ?
セッションのガベージコレクションの機能とかないんじゃなかったっけ?
俺は1リクエスト毎にデータベースに書きに行くのがすごくうざくって、
ちょっと触っただけでやめちゃったけれど・・・
73
2001/05/24(木) 15:32ID:??? Session管理は結局どれも内部でクッキーかGET(orPOST)パラメータですか。
そりゃそれ以外ないよな。
あとは携帯電話の固体IDだけど、503iから使えるようになった奴ですが、
210iではどうだろう?
そりゃそれ以外ないよな。
あとは携帯電話の固体IDだけど、503iから使えるようになった奴ですが、
210iではどうだろう?
84じゃないけど
2001/05/24(木) 20:26ID:CDMAiqEA94
2001/05/25(金) 03:05ID:C8bJzxHM103
2001/05/25(金) 11:07ID:y6UssZUU >あと、URLにセッションIDを埋め込む方式があるね。
>携帯とPCを両用したいときとかによくつかってます。
PATH_INFOですか?
それもGETパラメータ(URL)の一種だとは思いますが、
QUERY_STRINGと比べて特に携帯だからPATH_INFOを使う
意味も無いような、、、
逆にPATH_INFOでも使う分には同じなのでどちらでもいいし、
QUERY_STRINGやPOSTパラメータはシステムによっては
自動的に解析される部分に入ってしまうだろうから、それらの
仕組みとぶつからないというメリットかな?
>携帯とPCを両用したいときとかによくつかってます。
PATH_INFOですか?
それもGETパラメータ(URL)の一種だとは思いますが、
QUERY_STRINGと比べて特に携帯だからPATH_INFOを使う
意味も無いような、、、
逆にPATH_INFOでも使う分には同じなのでどちらでもいいし、
QUERY_STRINGやPOSTパラメータはシステムによっては
自動的に解析される部分に入ってしまうだろうから、それらの
仕組みとぶつからないというメリットかな?
11名無しさん@お腹いっぱい。
2001/05/25(金) 14:35ID:jbE0alI6 PHP4セッション管理の詳しく説明してる
サイトってありますかねー?
サイトってありますかねー?
2001/05/25(金) 18:47ID:???
てかセッションってなんですか?
13電動ナナシ
2001/05/26(土) 00:03ID:???14ナナシファン
2001/05/29(火) 12:40ID:S1fqIqMg >>13
うぉぉぉ!まさにコレ!
http://www.phpbuilder.com/columns/ying20000602.php3?print_mode=1
MySQLでセッション管理したかったんだよねーー!!ロードバランサは
(いいものになると)結構お値段が張るので、TurboLinux ClusterServer
とかを使ってWWWのクラスタリングをしたかったんだけど、セッションを
どーしよーかと途方に暮れてたところでした!
電動ナナシさん、サンクス!これからも有益な情報をお願いしますです!
うぉぉぉ!まさにコレ!
http://www.phpbuilder.com/columns/ying20000602.php3?print_mode=1
MySQLでセッション管理したかったんだよねーー!!ロードバランサは
(いいものになると)結構お値段が張るので、TurboLinux ClusterServer
とかを使ってWWWのクラスタリングをしたかったんだけど、セッションを
どーしよーかと途方に暮れてたところでした!
電動ナナシさん、サンクス!これからも有益な情報をお願いしますです!
15名無しさん@お腹いっぱい。
2001/05/29(火) 18:09ID:i2JkDuIg セッション管理はPostgresでは難しいのかー?
MySQLの方がいいのかな?
MySQLの方がいいのかな?
16名無しさん@お腹いっぱい。
2001/05/29(火) 18:57ID:oi4kyUtI2001/05/30(水) 10:48ID:???
>>15
webのセッション管理にDBMSって関係有る?
PHPのインターフェースの部分が、DBMSによってセッション管理が
用意されている/いないの差があるということかな?
おれはPHPでないので知りませんが。
webのセッション管理にDBMSって関係有る?
PHPのインターフェースの部分が、DBMSによってセッション管理が
用意されている/いないの差があるということかな?
おれはPHPでないので知りませんが。
18電動ナナシ
2001/05/30(水) 15:13ID:??? セッション管理は頻繁に発生する、トランザクションのような一貫性保証は
不要、ということで、PostgreSQL のような重装備の RDBMS よりも MySQL の
ような軽くて高速なデータベースが向いているということでしょ。
すでに PostgreSQL があってそれを使いたいということなら、別にそれでも
いいでしょ。セッションハンドラは別途書かないといけないというのはどの
RDBMS でも一緒。
不要、ということで、PostgreSQL のような重装備の RDBMS よりも MySQL の
ような軽くて高速なデータベースが向いているということでしょ。
すでに PostgreSQL があってそれを使いたいということなら、別にそれでも
いいでしょ。セッションハンドラは別途書かないといけないというのはどの
RDBMS でも一緒。
19名無しさん@お腹いっぱい。
2001/05/31(木) 12:55ID:6kiiO4aQ セッション管理ってなんで必要なの?
2001/05/31(木) 19:37ID:???
>>19
衝撃の質問!
衝撃の質問!
21名無しさん@お腹いっぱい。
2001/06/01(金) 10:08ID:lW7xbRZQ PHPLIB+MySQL+PHP3.0.9でセッション管理してます。ただ、レンタル
サーバーなんで都度requireしなければいけないのですが...
しかし、国際版PHPじゃないのがつらすぎる。Perl+DBIのほうが開発早かった
かもしれんッス
サーバーなんで都度requireしなければいけないのですが...
しかし、国際版PHPじゃないのがつらすぎる。Perl+DBIのほうが開発早かった
かもしれんッス
22電動ナナシ
2001/06/01(金) 17:50ID:???23名無しさん@お腹いっぱい。
2001/06/11(月) 11:59ID:BchxEcFA ちょっと質問。
よくユーザ登録のページで情報を入力しsubmitして
確認画面がでますよね。でソースを見ると入力内容をHidden
で渡してるものもあれば、Hiddenを使用していないものもあります。
Hiddenを使用せず渡すのは、s_id見たいなものを
をキーにして入力内容をDBに毎回insertしてページ間でデータが
渡っているのでしょうか?それとも別の方法があるんですかね?
疑問だったので・・・。
よくユーザ登録のページで情報を入力しsubmitして
確認画面がでますよね。でソースを見ると入力内容をHidden
で渡してるものもあれば、Hiddenを使用していないものもあります。
Hiddenを使用せず渡すのは、s_id見たいなものを
をキーにして入力内容をDBに毎回insertしてページ間でデータが
渡っているのでしょうか?それとも別の方法があるんですかね?
疑問だったので・・・。
2001/06/11(月) 12:44ID:???
またはipを基に一時ファイル作成とか…。
まぁ普通はCookieだと思うが
まぁ普通はCookieだと思うが
2001/06/12(火) 12:44ID:???
cookieに依存すると、専用端末や携帯電話やcookie offに対応することに
なったときに面倒っすよ。趣味でPCだけ相手にしているときにはいいけど。
なったときに面倒っすよ。趣味でPCだけ相手にしているときにはいいけど。
2001/06/12(火) 13:16ID:???
29名無しさん@お腹いっぱい。
2001/06/22(金) 12:49ID:yGqQ.0ks age
30殿堂ナナシ
2001/06/22(金) 22:26ID:???2001/06/22(金) 22:34ID:???
32殿堂ナナシ
2001/06/22(金) 23:21ID:??? >>31
怒ってる〜?
そうだね。レスポンスヘッダに設定する有効期限を無しに
すればセッションが続く限りクライアントが情報を保持するよね。
んで、そのセッションクッキーってのを使うと
セッション管理してるということになるの?
hidden と同じでクライアントに投げたら投げっぱなしなので
管理とは言いがたいような気がします〜。
毎回切断される HTTP で継続して情報を保持するために
サーバでランダムな ID を発行し、それをキーにクライアントと
やりとりを行う。
それをセッション管理と言う。
怒ってる〜?
そうだね。レスポンスヘッダに設定する有効期限を無しに
すればセッションが続く限りクライアントが情報を保持するよね。
んで、そのセッションクッキーってのを使うと
セッション管理してるということになるの?
hidden と同じでクライアントに投げたら投げっぱなしなので
管理とは言いがたいような気がします〜。
毎回切断される HTTP で継続して情報を保持するために
サーバでランダムな ID を発行し、それをキーにクライアントと
やりとりを行う。
それをセッション管理と言う。
2001/06/23(土) 03:44ID:???
>>32
そのやり取りって、クッキー使ってんじゃないの?
そのやり取りって、クッキー使ってんじゃないの?
2001/06/23(土) 13:09ID:???
どっちにしてもcookie使わない方法はないと思うが。
もちろん、擬似的なセッション維持だとは思うけど。
データをどこにもつかって事だと思うけど、
cokkieはドメイン毎に4Kまでの制限があるから、
ふつうサーバーでデータは保持する。
もちろん、擬似的なセッション維持だとは思うけど。
データをどこにもつかって事だと思うけど、
cokkieはドメイン毎に4Kまでの制限があるから、
ふつうサーバーでデータは保持する。
35殿堂ナナシ
2001/06/23(土) 22:56ID:??? クッキーだけでなく、サーバで発行したランダムなIDは次の
いづれかでやりとりされる。
・クッキー
・get リクエスト
・put リクエスト
このIDを普通はセッションIDっていうよね。
最近の Java や PHP では意識はしなくてもいいけど。
いづれかでやりとりされる。
・クッキー
・get リクエスト
・put リクエスト
このIDを普通はセッションIDっていうよね。
最近の Java や PHP では意識はしなくてもいいけど。
2001/06/24(日) 08:45ID:???
>・クッキー
>・get リクエスト
>・put リクエスト
結局hidden以外はcookieじゃん。
>・get リクエスト
>・put リクエスト
結局hidden以外はcookieじゃん。
2001/06/24(日) 12:09ID:???
URL Rewrite を忘れてる。<A HREF="/a/b/c;98A30x7"> みたい
なの。現行のステートマネージメントは
・Cookie の受け渡し
・HIDDEN フィールド
・URL Rewrite
で行われている (Servet の話だけど)。
ちなみにセッション ID がランダムに振られるシステムは設計が
おかしい。
なの。現行のステートマネージメントは
・Cookie の受け渡し
・HIDDEN フィールド
・URL Rewrite
で行われている (Servet の話だけど)。
ちなみにセッション ID がランダムに振られるシステムは設計が
おかしい。
38殿堂ナナシ
2001/06/24(日) 21:36ID:??? 間違えた。。。 put は post です。。。
・クッキー <- Cookie の受け渡し
・post リクエスト <- HIDDEN フィールド
・get リクエスト <- URL Rewrite
私の表現がおかしい〜?
URL Rewrite は クッキーが使えないときにAP サーバが
セッションIDを URL に Rewrite するっていうものだよね。
最近、セキュリティ的に問題があるので使ってはいけないというのが
良く言われてるけど。
セッションIDがランダムに振られるのがおかしいというのはなぜ〜?
最近はAPサーバにセッション管理が実装されてるから
あまり意識してないもので。。。
一意性の問題?
・クッキー <- Cookie の受け渡し
・post リクエスト <- HIDDEN フィールド
・get リクエスト <- URL Rewrite
私の表現がおかしい〜?
URL Rewrite は クッキーが使えないときにAP サーバが
セッションIDを URL に Rewrite するっていうものだよね。
最近、セキュリティ的に問題があるので使ってはいけないというのが
良く言われてるけど。
セッションIDがランダムに振られるのがおかしいというのはなぜ〜?
最近はAPサーバにセッション管理が実装されてるから
あまり意識してないもので。。。
一意性の問題?
2001/06/25(月) 00:25ID:???
そう、一意性の問題。普通はシーケンシャルに採番して一意性を
維持したままシャッフルすると思われる。ちょっと揚げ足を取っ
てみただけ。
現行のステートマネージメントメカニズムは、どの方法も SSL と
組み合わせないとセキュリティ的に問題ありだね。というか
そんなの Web の常識だったはずなのに、なぜ突然ひろみちゅが
騒ぎ始めたのか分からんよ。
URL Rewrite/HIDDEN フィールド
ソースを見れば一目瞭然。URL 欄にも表示される。ジャンプ先
サイトでは Referer ヘッダで参照可能 (ブラウザの種類と
バージョンにもよる)。自サイトを SSL 化しても Referer
ヘッダは漏れてしまうかも (なりすまし接続は無理だろうが)。
Cookie
丸見えでない分 URL Rewrite/HIDDEN フィールドよりまし
だが平文であることには変わりない。プロキシサーバなら
余裕で盗める。期限付きのはファイルで残る。
# 昔、クライアント側の IP アドレスを使ってセッション ID
# にハッシュかければセキュリティもバッチリでは? と発明
# しかけたが、程なくプロキシの存在を忘れているのに気づ
# いた。
維持したままシャッフルすると思われる。ちょっと揚げ足を取っ
てみただけ。
現行のステートマネージメントメカニズムは、どの方法も SSL と
組み合わせないとセキュリティ的に問題ありだね。というか
そんなの Web の常識だったはずなのに、なぜ突然ひろみちゅが
騒ぎ始めたのか分からんよ。
URL Rewrite/HIDDEN フィールド
ソースを見れば一目瞭然。URL 欄にも表示される。ジャンプ先
サイトでは Referer ヘッダで参照可能 (ブラウザの種類と
バージョンにもよる)。自サイトを SSL 化しても Referer
ヘッダは漏れてしまうかも (なりすまし接続は無理だろうが)。
Cookie
丸見えでない分 URL Rewrite/HIDDEN フィールドよりまし
だが平文であることには変わりない。プロキシサーバなら
余裕で盗める。期限付きのはファイルで残る。
# 昔、クライアント側の IP アドレスを使ってセッション ID
# にハッシュかければセキュリティもバッチリでは? と発明
# しかけたが、程なくプロキシの存在を忘れているのに気づ
# いた。
2001/06/25(月) 15:58ID:???
2001/06/26(火) 10:43ID:???
セッション ID を盗まれると言うことは、意味的にサーバサイドの
セッション情報ごと盗まれるのと等しい。ただ、情報が丸見えでは
なく、どのような情報か想像しずらいという人間的な利点があるだけ。
ユーザ認証後のセッション ID を盗まれたら、アプリケーションを
乗っ取られたのと事実上同じ。セキュリティを確保したければ SSL
と併用せれ。
セッション情報ごと盗まれるのと等しい。ただ、情報が丸見えでは
なく、どのような情報か想像しずらいという人間的な利点があるだけ。
ユーザ認証後のセッション ID を盗まれたら、アプリケーションを
乗っ取られたのと事実上同じ。セキュリティを確保したければ SSL
と併用せれ。
2001/06/26(火) 10:45ID:???
セッション ID を盗まれると言うことは、意味的にサーバサイドの
セッション情報ごと盗まれるのと等しい。ただ、情報が丸見えでは
なく、どのような情報か想像しずらいという人間的な利点があるだけ。
ユーザ認証後のセッション ID を盗まれたら、アプリケーションを
乗っ取られたのと事実上同じ。セキュリティを確保したければ SSL
と併用せれ。
セッション情報ごと盗まれるのと等しい。ただ、情報が丸見えでは
なく、どのような情報か想像しずらいという人間的な利点があるだけ。
ユーザ認証後のセッション ID を盗まれたら、アプリケーションを
乗っ取られたのと事実上同じ。セキュリティを確保したければ SSL
と併用せれ。
2001/06/26(火) 15:40ID:???
>43
ID+有効期限を暗号化して発行すれば、
多少マシになる。
ID+有効期限を暗号化して発行すれば、
多少マシになる。
2001/06/26(火) 17:27ID:???
>>44 その暗号化のキーは?
2001/06/26(火) 17:28ID:???
>>44 その暗号化のキーは?
47名無しさん@お腹いっぱい。
2001/06/26(火) 23:59ID:DSIpbR1w >46
なんでもいいじゃない?
暗号化も複合化もサーバーでやるんだから
実際にやってるけど、SIDとログインタイムをある形式にフォーマットして
BASE64で暗号化して発行。クライアントから返されるSIDは形式のチェックで先ずはじく。
仮に、クッキー盗まれても有効期限内しか使えないし、
まあ、解読も可能だろうけど、一定期間でキーやアルゴリズム変えれば、
それなりに実用的だと思う。
なんか間違ってる?
なんでもいいじゃない?
暗号化も複合化もサーバーでやるんだから
実際にやってるけど、SIDとログインタイムをある形式にフォーマットして
BASE64で暗号化して発行。クライアントから返されるSIDは形式のチェックで先ずはじく。
仮に、クッキー盗まれても有効期限内しか使えないし、
まあ、解読も可能だろうけど、一定期間でキーやアルゴリズム変えれば、
それなりに実用的だと思う。
なんか間違ってる?
2001/06/27(水) 00:07ID:???
Crypt::Blowfishで暗号化でした
つくったのはおいらでないので間違ってるかも
つくったのはおいらでないので間違ってるかも
49名無しさん@おへそいっぱい。
2001/06/27(水) 00:52ID:DNFpNq1I いくら強力な暗号化アルゴリズムを使っても、キーがサーバ側に
あったら意味ないでしょ。盗んだ側にとっては ID が暗号化され
ているかどうかなんて関係なく、盗んだ Cookie をそのまま送り
返せばよいのだから (だから >>39 でクライアント側の IP ア
ドレスをキーにハッシュかけようとした)。
あ、俺が考えてるのは中継サーバ等で Cookie が盗まれた場合ね。
総当りでのセッション ID 盗難防止という話だったら暗号化だけで
効果は高い。んーでも総当りなんて目立つ方法で盗もうとする莫迦
いるか? だから、わざわざセッション ID を暗号化してもたいした
効果がないと思っただけ。
あったら意味ないでしょ。盗んだ側にとっては ID が暗号化され
ているかどうかなんて関係なく、盗んだ Cookie をそのまま送り
返せばよいのだから (だから >>39 でクライアント側の IP ア
ドレスをキーにハッシュかけようとした)。
あ、俺が考えてるのは中継サーバ等で Cookie が盗まれた場合ね。
総当りでのセッション ID 盗難防止という話だったら暗号化だけで
効果は高い。んーでも総当りなんて目立つ方法で盗もうとする莫迦
いるか? だから、わざわざセッション ID を暗号化してもたいした
効果がないと思っただけ。
2001/06/27(水) 01:02ID:???
すまん、ハッシュではなく可逆符号化だ…。
51名無しさん@お腹いっぱい。
2001/06/27(水) 02:33ID:IVYsrfFE 間にProxyが入ろうがどうしようが
クライアント固有の識別ID(macアドレスとか)を
簡単に取れる手段があるといいんですがねえ。
プライバシー的には問題おおありですが。
そういうの、MSならやってくれ・・・ないか。さすがに。
クライアント固有の識別ID(macアドレスとか)を
簡単に取れる手段があるといいんですがねえ。
プライバシー的には問題おおありですが。
そういうの、MSならやってくれ・・・ないか。さすがに。
2001/06/27(水) 16:30ID:???
proxyの問題を考えなければ簡単なんだけどね>セッションID盗難対策
503iのような、固体識別番号取得タグをどのブラウザも実装してくれれば
話は簡単だけれども。
確認が入るのでプライバシー的な問題も無いと思うし、MSさん実装して
くれまいか。
503iのような、固体識別番号取得タグをどのブラウザも実装してくれれば
話は簡単だけれども。
確認が入るのでプライバシー的な問題も無いと思うし、MSさん実装して
くれまいか。
2001/07/02(月) 04:53ID:???
SSL使え
54名無しさん@お腹いっぱい。
2001/07/02(月) 21:19ID:T7UPCPm6 だめ。SSLで守れたと思っちゃだめ。はー
いま(さらながらに)騒がれてるやつあるよね。
あれは相当驚異だよ。たぶん完全に防げてるサイトなんて数えるほど。
いま(さらながらに)騒がれてるやつあるよね。
あれは相当驚異だよ。たぶん完全に防げてるサイトなんて数えるほど。
55名無しさん@お腹いっぱい。
2001/07/02(月) 22:08ID:pL9j.pM6 まじっすか? それって何?
56名無しさん
2001/07/02(月) 22:14ID:??? DoCoMoがNULLDOCOMOGW(だっけ?)を一般ユーザーに開放してくれればいいのに…
2001/07/02(月) 22:19ID:???
>>55
おれは54じゃないけど
クレジットカード情報がサーバ上ではまるみえで、
ブラウザのURL直打ちで見れちゃったというニュースなら読んだ。
http://hwj-www.hotwired.co.jp/news/news/business/story/20010625102.html
おれは54じゃないけど
クレジットカード情報がサーバ上ではまるみえで、
ブラウザのURL直打ちで見れちゃったというニュースなら読んだ。
http://hwj-www.hotwired.co.jp/news/news/business/story/20010625102.html
58名無しさん@お腹いっぱい。
2001/07/03(火) 04:13ID:PMTadY4o >>54 SSL とサイトへの侵入とがごっちゃになってないか?
それとも SSL のポートを使って侵入 or 成りすましという話か?
それとも SSL のポートを使って侵入 or 成りすましという話か?
2001/07/03(火) 09:04ID:???
Cookieは楽々盗めるって話。進入は無関係だけど…
60名無しさん@お腹いっぱい。
2001/07/03(火) 09:58ID:.3Xwbm0A ソースはどこよ
2001/07/03(火) 11:25ID:???
言っちゃってもいいかどうか解らん。広めるならもっと思いっきり広めないとだし。
実は知ってる人にはあたり前のことではあるが、C****S***-S********のことです。
解っててもそうそう防ぎ切れないもんでおれも困ってるの。もうここまでにしとくね。
きっとしかるべき機関なり人がしかるべきところで注意喚起してくれることを期待して。
実は知ってる人にはあたり前のことではあるが、C****S***-S********のことです。
解っててもそうそう防ぎ切れないもんでおれも困ってるの。もうここまでにしとくね。
きっとしかるべき機関なり人がしかるべきところで注意喚起してくれることを期待して。
2001/07/03(火) 11:47ID:???
被害立証できるんだったらオフラインでなんかすりゃいいじゃん。
63名無しさん@おへそいっぱい。
2001/07/03(火) 13:41ID:EU3mmkbg SSL で Cookie 盗んで、なりすましまで出来るものですか?
マジできたら今まで言ったこと撤回するわ。
マジできたら今まで言ったこと撤回するわ。
2001/07/04(水) 15:40ID:???
GETをはじく方法ってありますかね?
たとえばxxxx.php?id=123がありid部分を違う数字に
変えれば違う情報が表示されます。
直接入力された時は処理できないようにしたいのですが・・・。
たとえばxxxx.php?id=123がありid部分を違う数字に
変えれば違う情報が表示されます。
直接入力された時は処理できないようにしたいのですが・・・。
2001/07/04(水) 15:45ID:???
直接って事は自サイト等からリンクされてる場合は良いの?
2001/07/04(水) 16:23ID:???
PHP4 のセッション変数って、オブジェクト(つまりクラスのインスタンス)は格納できるの?
2001/07/04(水) 17:15ID:???
68名無しさん@おへそいっぱい。
2001/07/04(水) 21:28ID:U5Vc3q2o >>64 Apache 使ってるなら httpd.conf か .htaccess で
GET がはじけるだろう。まにあるみれ。
GET がはじけるだろう。まにあるみれ。
69殿堂ナナシ
2001/07/04(水) 23:34ID:??? >>66
セッションの登録について PHP4 マニュアルには
「変数名を保持する文字列または変数名からなる配列」
ってあるね。
Java だと Serializable なオブジェクト(Javabean とか)は
出来るのにね〜。
セッションの登録について PHP4 マニュアルには
「変数名を保持する文字列または変数名からなる配列」
ってあるね。
Java だと Serializable なオブジェクト(Javabean とか)は
出来るのにね〜。
7066
2001/07/05(木) 01:19ID:??? >>69 レスありがと。
あきらめきれずこんなテストコード書いたらちゃんとカウントアプしてくれた。
<?php
class testFoo {
var $count;
function testFoo($i) {
$this->count = $i;
}
function inc() {
$this->count++;
}
function hello() {
$this->inc();;
echo("hello, " . $this->count . " times.\n");
}
}
session_start();
if (!isset($obj)) {
$obj = new testFoo(0);
session_register("obj");
}
?>
<html>
<h1>
<?php $obj->hello(); ?>
</h1>
</html>
/tmp覗いたら
obj|O:7:"testfoo":1:{s:5:"count";i:3;}
となんとなくシリアライズしてくれてる風味。
あきらめきれずこんなテストコード書いたらちゃんとカウントアプしてくれた。
<?php
class testFoo {
var $count;
function testFoo($i) {
$this->count = $i;
}
function inc() {
$this->count++;
}
function hello() {
$this->inc();;
echo("hello, " . $this->count . " times.\n");
}
}
session_start();
if (!isset($obj)) {
$obj = new testFoo(0);
session_register("obj");
}
?>
<html>
<h1>
<?php $obj->hello(); ?>
</h1>
</html>
/tmp覗いたら
obj|O:7:"testfoo":1:{s:5:"count";i:3;}
となんとなくシリアライズしてくれてる風味。
2001/07/05(木) 12:38ID:???
2001/07/13(金) 13:41ID:???
PHP4で各ユーザのセッションファイル(sess_*)の特定は
セッションIDの取得すればよいのですかね?
たとえばxxx.php?session_idのような感じでOKかな?
じゃ、Hiddenで渡すとき、nameは何になるのでしょうか?
疑問だったので・・・・・。
セッションIDの取得すればよいのですかね?
たとえばxxx.php?session_idのような感じでOKかな?
じゃ、Hiddenで渡すとき、nameは何になるのでしょうか?
疑問だったので・・・・・。
73名無しさん@お腹いっぱい。
2001/07/13(金) 14:14ID:IqmDBVro2001/07/13(金) 16:50ID:???
>>72 セッションIDって今まで意識してなかったけど、取得しないとなにか不都合あるの?
75名無しさん@お腹いっぱい。
2001/07/18(水) 09:56ID:pNSSuY1U76名無しさん@お腹いっぱい。
2001/07/18(水) 13:58ID:IiBzwOm62001/07/18(水) 21:33ID:???
>>76
PHP4 でしょ? だったら session_start() するだけて
session_register() した変数をとりこんでくれるんだから
スクリプト側は session ID を意識しなくていいじゃん。
PHP4 でしょ? だったら session_start() するだけて
session_register() した変数をとりこんでくれるんだから
スクリプト側は session ID を意識しなくていいじゃん。
7877
2001/07/18(水) 21:36ID:??? ああ、そうね。書いてから気づいたよ。
セッション終わっても情報を取っときたいってことね。
セッション終わっても情報を取っときたいってことね。
79PHP三日目
2001/07/18(水) 23:52ID:??? PHPのセッションって
セッションタイムアウトってゆー概念がないの?
(ASPにあるよーなやつ)
セッションタイムアウトってゆー概念がないの?
(ASPにあるよーなやつ)
2001/07/21(土) 00:12ID:???
あげましょう。
2001/07/30(月) 11:20ID:???
あげ。
82ナナシファン
2001/07/30(月) 11:55ID:gBtO/HQg >>79
あるよ〜。設定はphp.iniじゃなかったかな?覚えてなくてごめん。
あるよ〜。設定はphp.iniじゃなかったかな?覚えてなくてごめん。
2001/07/30(月) 19:30ID:???
セッション管理って大丈夫?
二つのページを同時にアクセスした場合とかどうよ
セッション情報に「前のページ」とか残して、
それを信用して組んだりできないよね...
二つのページを同時にアクセスした場合とかどうよ
セッション情報に「前のページ」とか残して、
それを信用して組んだりできないよね...
2001/07/31(火) 04:37ID:???
86コメント無しさん
2001/08/03(金) 14:08ID:???87名無しさん@お腹いっぱい。
2001/08/04(土) 13:47ID:DQ4jThjY クッキーに関しての質問です。
クッキーに配列を保存できますかね?
例えば、
$data=array(
"a" => "hoge1",
"b" => "hoge2"
);
SetCookie("hogehoge", $data);
こんな感じで$data配列を作成しクッキーに保存して、
$c_data=$HTTP_COOKIE_VARS["hogehoge"];
で、データを呼び出して
echo"$c_data[a]";
で出力できるようにしたいのですが、
なかなかうまくいかないです。
クッキーに配列を保存できますかね?
例えば、
$data=array(
"a" => "hoge1",
"b" => "hoge2"
);
SetCookie("hogehoge", $data);
こんな感じで$data配列を作成しクッキーに保存して、
$c_data=$HTTP_COOKIE_VARS["hogehoge"];
で、データを呼び出して
echo"$c_data[a]";
で出力できるようにしたいのですが、
なかなかうまくいかないです。
89電動ナナシ
2001/08/04(土) 18:06ID:yWM3EPUw >>87
Cookie は文字列しか受け付けないだろ?
マニュアル (http://www.php.net/manual/en/function.setcookie.php) を
見れば分かるが、引数は "string" と書いてある。
int setcookie (string name [, string value [, int expire [, string path [, string domain [, int secure]]]]])
マニュアルのサンプルコードにやりたいことのやり方が書いてあるぞ。
Cookie は文字列しか受け付けないだろ?
マニュアル (http://www.php.net/manual/en/function.setcookie.php) を
見れば分かるが、引数は "string" と書いてある。
int setcookie (string name [, string value [, int expire [, string path [, string domain [, int secure]]]]])
マニュアルのサンプルコードにやりたいことのやり方が書いてあるぞ。
91コメント無しさん
2001/08/07(火) 16:12ID:??? >>90
クッキーの寿命の話ね。
ひとつのブラウザで1つのセッションになる。
IEは、設定すればウィンドウごとに別セッションになる。
セッションで「前のページ」を保存って話題だから、パラメータでセッション変数渡すことは考えてない。
そんときはパラメータに前ページ情報つければなにも問題ないから。
クッキーの寿命の話ね。
ひとつのブラウザで1つのセッションになる。
IEは、設定すればウィンドウごとに別セッションになる。
セッションで「前のページ」を保存って話題だから、パラメータでセッション変数渡すことは考えてない。
そんときはパラメータに前ページ情報つければなにも問題ないから。
92名無しさん@お腹いっぱい。
2001/08/10(金) 14:12ID:RmKi09oM2001/08/10(金) 14:14ID:???
インターネットオプションで変更するの
94名無しさん@お腹いっぱい。
2001/08/10(金) 14:26ID:RmKi09oM95名無しさん@お腹いっぱい。
01/11/07 01:49ID:xHkACnav そろそろ>>61について教えて欲しかったり。
age
age
96名無しさん@お腹いっぱい。
01/11/07 02:15ID:WNbh62gs ん?
クロスサイトスクリプティングでしょ?
クロスサイトスクリプティングでしょ?
9795
01/11/07 02:29ID:xHkACnav98名無しさん@お腹いっぱい。
01/11/08 22:15ID:BR2wW00P PHP4のセッション初めてつかたけど、
/tmpにセッションごとの変数の値ががんがんたまってます。
もういいやと思ったあたりで消すしかないんでしょうか?
/tmpにセッションごとの変数の値ががんがんたまってます。
もういいやと思ったあたりで消すしかないんでしょうか?
99名無しさん@お腹いっぱい。
01/11/16 10:07ID:dtqn0qNF ガーベジコレクションで消えてくんじゃない?
01/11/16 17:01ID:???
溜まってるっつってんだろが! ワラ
01/11/16 17:14ID:???
俺は、php.iniでsession.save_pathを/var/tmp/phpにしておき、cronで
/var/tmp/php以下を掃除するようにしてる。
/var/tmp/php以下を掃除するようにしてる。
01/11/18 03:56ID:???
>>100-101
マニュアル読み直した方が良いかと思われ。
マニュアル読み直した方が良いかと思われ。
01/11/18 12:29ID:???
>>101
session.gc_probabilityでGCの開始確率指定かえてみたら?
session.gc_probabilityでGCの開始確率指定かえてみたら?
105101
01/11/18 21:08ID:??? うげ、session.gc_probabilityのマニュアルを良く読むと、in percentって書
いてある。デフォルトは1.0じゃなくて1%ってことだったのカー。
逝ってくる。
いてある。デフォルトは1.0じゃなくて1%ってことだったのカー。
逝ってくる。
106z
01/11/21 00:38ID:??? php3国際版を使ってんだけど、id&pass を hidden で渡してるのはやっぱ気持ち悪い。
早いとこ php4に行きたいなぁ。
ところで、php4のセッション管理って、クラスのインスタンスを
保存できないのだよね? スカラー変数と配列のみ??
インスタンスが保存できればうれしいんだけどな。
早いとこ php4に行きたいなぁ。
ところで、php4のセッション管理って、クラスのインスタンスを
保存できないのだよね? スカラー変数と配列のみ??
インスタンスが保存できればうれしいんだけどな。
01/11/21 21:59ID:???
01/11/21 23:41ID:???
106はマルチだったのか
10998
01/11/23 14:24ID:w+gD3nN+110名無しさん@お腹いっぱい。
01/11/27 16:01ID:cyjl29qD PHP4でのセッション管理なんですが、
PHP4標準のセッション機能とPHPLIBでのセッション機能、
みなさんどちらを使用されていますか?
どちらを使用しようか迷ってます。
PHP4標準のセッション機能とPHPLIBでのセッション機能、
みなさんどちらを使用されていますか?
どちらを使用しようか迷ってます。
111age
02/01/09 12:58ID:13jpWnyp age
02/01/12 14:03ID:???
age
02/01/15 09:56ID:???
「セキュリティホール memo メーリングリスト」で
Apache::Session (Perl モジュール) の話が出てるね。
Apache::Session (Perl モジュール) の話が出てるね。
114113
02/01/15 09:58ID:???115名無しさん@お腹いっぱい
02/01/23 02:53ID:??? WebObjects使えば、Session管理は自動。管理そのものに頭を悩ます必要ないです。
そのSession内でやりたいことを記述することに集中できますよ。
PHPもいいですけど、WebObjectsは比較になりませんでした。
そのSession内でやりたいことを記述することに集中できますよ。
PHPもいいですけど、WebObjectsは比較になりませんでした。
02/01/24 16:18ID:???
セッション管理、してる?
02/02/21 16:29ID:???
結局のところ、session管理にはcookieは使うべきなのだろうか。
クロスサイトスクリプティング等の問題もあるけど。
セッションIDをURLで持たせて行くのは怖いような気がするんですが、みんなはどうやってる?
クロスサイトスクリプティング等の問題もあるけど。
セッションIDをURLで持たせて行くのは怖いような気がするんですが、みんなはどうやってる?
02/02/21 17:02ID:???
くき。
02/02/23 11:58ID:???
$_SESSION変数を使うえば透過的に処理してくれそうなんだけど、
使ってる人居る?
使ってる人居る?
120age
02/06/20 21:08ID:iXAPSXQ3 ブラウザを完全に閉じると消える一時的cookieですが、
Proxyサーバーを通している場合、
クライアントがブラウザを閉じてもCookieがProxyサーバーに残りますか?
Proxyサーバーを通している場合、
クライアントがブラウザを閉じてもCookieがProxyサーバーに残りますか?
122nobodyさん
02/07/24 21:42ID:sfTx1osq Perl の CGI::Session::DB_File 使ってるんですが、
ロックファイルはどうやって削除するのがイイんで
しょうか? delete() した後も残りますよね。
Apache::Session::Lock::File だと clean() がある
んだけど… (でもバグってる)
ロックファイルはどうやって削除するのがイイんで
しょうか? delete() した後も残りますよね。
Apache::Session::Lock::File だと clean() がある
んだけど… (でもバグってる)
123山崎渉
03/01/15 13:51ID:??? (^^)
124nobodyさん
03/03/09 16:41ID:xF/AergB 複数ページにまたがるアンケートで
URL埋め込みやhiddenを使ってページ間で値を渡してます
URL埋め込みの場合ですが、直打ちで任意のページを表示できてしまうので
アンケートの解答中にふとしたはずみで
直にページに飛んでしまい、解答済みのデータが飛ぶかもしれないと
PATH_INFOを使って判別してるのですが
PATH_INFOは間違った情報を返したりすることはないんでしょうか?
リファは結構ふっとんだりしてくれるので
似たようなことが起こるかと心配で…
URL埋め込みやhiddenを使ってページ間で値を渡してます
URL埋め込みの場合ですが、直打ちで任意のページを表示できてしまうので
アンケートの解答中にふとしたはずみで
直にページに飛んでしまい、解答済みのデータが飛ぶかもしれないと
PATH_INFOを使って判別してるのですが
PATH_INFOは間違った情報を返したりすることはないんでしょうか?
リファは結構ふっとんだりしてくれるので
似たようなことが起こるかと心配で…
125nobodyさん
03/03/10 22:33ID:??? 漏れもhidden良く使うかも。
126nobodyさん
03/03/12 17:37ID:UYTsxMQD PHPのセッション管理で鯖分散対応の為にセッションハンドラをカスタマイズして、
セッションオブジェクトを外部鯖のDBに保存する方法があるんだが、
http://www.pgsql.info/yohgaki.php
http://www.phpbuilder.com/columns/ying20000602.php3
誰か実際にやっている人います?
セッションオブジェクトを外部鯖のDBに保存する方法があるんだが、
http://www.pgsql.info/yohgaki.php
http://www.phpbuilder.com/columns/ying20000602.php3
誰か実際にやっている人います?
127山崎渉
03/03/13 16:59ID:??? (^^)
128nobodyさん
03/03/13 20:01ID:???129nobodyさん
03/03/15 00:57ID:??? >>126
おれも使ってる。正月にリニューアルしてwebを2台構成にした。
DBは後ろのネットワークに下げて両方から繋いでる。
www1.hoge.com
www2.hoge.com
の構成でも使えてるヨ。
おれも使ってる。正月にリニューアルしてwebを2台構成にした。
DBは後ろのネットワークに下げて両方から繋いでる。
www1.hoge.com
www2.hoge.com
の構成でも使えてるヨ。
130nobodyさん
03/03/15 01:14ID:Sqe0b8Ey セッション:負け組
クッキー:勝ち組
クッキー:勝ち組
131nobodyさん
03/03/15 18:03ID:YPCssbUz POSTメソッドを利用して入力フォームからPHPでPostgreSQLにApache経由でデータを登録するプログラムを書いています。
以下のプログラムを冒頭に置くとプログラムの最後の行を示しパーサーエラーで,
停止してしまいます。
session_start();
ob_start("mb_output_handler");
/* データ登録処理 */
if (isset($_POST["sbmt"])) {
/* enctypeがmultipart/form-dataなのでエンコーディング変換 */
while (list($key, $val) = each($_POST)) {
$_SESSION["post"][$key]
= htmlspecialchars(
mb_convert_encoding($val, "EUC-JP", "auto"),
ENT_COMPAT,
"EUC-JP");
}
原因はセッション変数に明示的に変数が設定されていないからでしょうか?
以下のプログラムを冒頭に置くとプログラムの最後の行を示しパーサーエラーで,
停止してしまいます。
session_start();
ob_start("mb_output_handler");
/* データ登録処理 */
if (isset($_POST["sbmt"])) {
/* enctypeがmultipart/form-dataなのでエンコーディング変換 */
while (list($key, $val) = each($_POST)) {
$_SESSION["post"][$key]
= htmlspecialchars(
mb_convert_encoding($val, "EUC-JP", "auto"),
ENT_COMPAT,
"EUC-JP");
}
原因はセッション変数に明示的に変数が設定されていないからでしょうか?
132nobodyさん
03/03/15 18:15ID:??? >131
ただの構文エラーだろ
ただの構文エラーだろ
133nobodyさん
03/03/15 18:53ID:YPCssbUz >132
サンクス
でも、さっきのプログラムの前に別の関数からデータをセットして
あると動くんだよね
/* セッション変数管理 */
if (!isset($_SESSION["diary_year"])) {
$_SESSION["diary_year"] = date("Y");
}
こんなかんじで
date("Y")って部分は別の関数から定義されてるんだよね
最初にセッション関数が呼び出されたときには、配列の中を空に
しておきたいんですよ、それから簡単なエラーチェックをして
sbmitが実行した時にさっきのプログラムで文字をエンコードしたいよね。
サンクス
でも、さっきのプログラムの前に別の関数からデータをセットして
あると動くんだよね
/* セッション変数管理 */
if (!isset($_SESSION["diary_year"])) {
$_SESSION["diary_year"] = date("Y");
}
こんなかんじで
date("Y")って部分は別の関数から定義されてるんだよね
最初にセッション関数が呼び出されたときには、配列の中を空に
しておきたいんですよ、それから簡単なエラーチェックをして
sbmitが実行した時にさっきのプログラムで文字をエンコードしたいよね。
134nobodyさん
03/03/31 23:27ID:7tNuLEs3 今までのログを読んだけれど、なんとなくしかわかってないので、
質問させてください。
Perlで会員管理のしくみをつくってるのですが、
会員情報を入れてあるCSVファイルに、セッションIDの列をつくる。
IDパスワードを入れてもらってログインに成功した場合、
$year.$month.$day.$hour.$min.$$をcryptしたものを、
会員情報のセッションID列と、クッキーの両方に書き込んで、
以降は、そのセッションIDをクッキーでもらったら、それに該当する会員情報を表示する・・・
これって、問題ないでしょうか?
また、セッションIDを暗号化するという場合、上記のようにサーバ側とクライアント側両方を、
cryptするべきなんでしょうか?
質問させてください。
Perlで会員管理のしくみをつくってるのですが、
会員情報を入れてあるCSVファイルに、セッションIDの列をつくる。
IDパスワードを入れてもらってログインに成功した場合、
$year.$month.$day.$hour.$min.$$をcryptしたものを、
会員情報のセッションID列と、クッキーの両方に書き込んで、
以降は、そのセッションIDをクッキーでもらったら、それに該当する会員情報を表示する・・・
これって、問題ないでしょうか?
また、セッションIDを暗号化するという場合、上記のようにサーバ側とクライアント側両方を、
cryptするべきなんでしょうか?
135nobodyさん
03/03/31 23:54ID:lrdCZ3fP137nobodyさん
03/04/01 08:38ID:CaQk8w76 135です。
自己レスだが134には問題あった。
会員テーブルにセッションIDフィールドを持たせるのはよくない。
セッションはセッション管理用のテーブルを別にもたせる。
そのテーブルには、
セッションID
ユーザ識別コード
セッション間で引き渡すデータ
セッションの最終アクセス日時
などを入れておく。
自己レスだが134には問題あった。
会員テーブルにセッションIDフィールドを持たせるのはよくない。
セッションはセッション管理用のテーブルを別にもたせる。
そのテーブルには、
セッションID
ユーザ識別コード
セッション間で引き渡すデータ
セッションの最終アクセス日時
などを入れておく。
138135
03/04/01 23:57ID:1YIS/hST139nobodyさん
03/04/02 01:33ID:??? 破壊を防ぐ
140nobodyさん
03/04/03 06:17ID:+kJBCXqS >>138
ユーザ識別コードはユーザごとのユニークなキー
です。セッション間で値を引き渡すだけの簡単な
管理だけなら不要ですね。ログインして利用する
サイトを作るなら必要になると思いますが。
セッション管理の理論は書いてあっても実装まで具体的に
書かれている本って少ないですから、書籍で勉強する
よりホームページで勉強したほうがいいかもね。
ユーザ識別コードはユーザごとのユニークなキー
です。セッション間で値を引き渡すだけの簡単な
管理だけなら不要ですね。ログインして利用する
サイトを作るなら必要になると思いますが。
セッション管理の理論は書いてあっても実装まで具体的に
書かれている本って少ないですから、書籍で勉強する
よりホームページで勉強したほうがいいかもね。
141134
03/04/04 10:45ID:lpjcObWV すいません、あとひとつ。
>>137 だと、
もしユーザが「ログアウト」ボタンを押したとき、
クライアントの持ってるクッキーも削除(過去の時間を指定)して、
セッション管理用テーブルから該当レコードを削除すればいいわけですよね?
ただ、ユーザがログアウトボタンを押さずにブラウザを閉じてしまった場合、
該当レコードは削除されないため、レコードがどんどんたまってしまうかと思います。
これは、どうすればいいのでしょう?
ほっとくしかない?あるいは、
どっかのタイミング(そのユーザがまたログインしてきたとき?)に削除するのでしょうか?
あ、そのために「セッションの最終アクセス日時」の列があるのかな?
>>137 だと、
もしユーザが「ログアウト」ボタンを押したとき、
クライアントの持ってるクッキーも削除(過去の時間を指定)して、
セッション管理用テーブルから該当レコードを削除すればいいわけですよね?
ただ、ユーザがログアウトボタンを押さずにブラウザを閉じてしまった場合、
該当レコードは削除されないため、レコードがどんどんたまってしまうかと思います。
これは、どうすればいいのでしょう?
ほっとくしかない?あるいは、
どっかのタイミング(そのユーザがまたログインしてきたとき?)に削除するのでしょうか?
あ、そのために「セッションの最終アクセス日時」の列があるのかな?
142nobodyさん
03/04/04 19:30ID:tuNiAs90143141
03/04/04 22:50ID:fnHSIfLl >>142
そっかー。
いまつくってるところ、クーロン使えないんですよね・・・
なら、そのユーザがまたログインしてきたときに、
削除(というか新しいセッションIDに書き換える)
でも、問題とくにないですよね?
そっかー。
いまつくってるところ、クーロン使えないんですよね・・・
なら、そのユーザがまたログインしてきたときに、
削除(というか新しいセッションIDに書き換える)
でも、問題とくにないですよね?
144141
03/04/05 02:53ID:ur80FjBN ($sec, $min, $hour, $mday, $mon, $year,$wday, $yday, $isdst) = localtime(time);
$year += 1900;#気持ちわるいので、一応4桁にしておく
$sessionid = crypt($year.$mon.$mday.$hour.$min.$sec.$$, "AA");
で、セッションIDを取得したのですが、なんかいアクセスしても、
$sessionid = AAwTU6/kNo2jY という文字列になってしまいます。
なぜなんでしょうか
$year += 1900;#気持ちわるいので、一応4桁にしておく
$sessionid = crypt($year.$mon.$mday.$hour.$min.$sec.$$, "AA");
で、セッションIDを取得したのですが、なんかいアクセスしても、
$sessionid = AAwTU6/kNo2jY という文字列になってしまいます。
なぜなんでしょうか
145nobodyさん
03/04/05 05:27ID:WWynoIxP >>143
ユーザが再度ログインしたら、前回のそのユーザのセッション
ファイルだけ削除する必要はない。ログインしたらすべての
セッションファイルをチェックして、時間切れになるものをすべて
削除すればOK。
ユーザが再度ログインしたら、前回のそのユーザのセッション
ファイルだけ削除する必要はない。ログインしたらすべての
セッションファイルをチェックして、時間切れになるものをすべて
削除すればOK。
146nobodyさん
03/04/05 08:30ID:LO75gp9Z ASP VBScriptでsession変数を使ってセッション管理しようおおもうのですが、
ブラウザがわでクッキー無効にされてる場合ってセッション管理できなくなってしまうのでしょうか?その場合はURLにうめこむとか、HiddenでPOSTするとかで対処するしかないのでしょうか?
ブラウザがわでクッキー無効にされてる場合ってセッション管理できなくなってしまうのでしょうか?その場合はURLにうめこむとか、HiddenでPOSTするとかで対処するしかないのでしょうか?
147nobodyさん
03/04/05 13:05ID:Ia1grhBJ $sessionid = crypt($year.$mon.$mday.$hour.$min.$sec.$$, "AA");
print $sessionid;
・・と、セッションIDを生成してるのですが、
リロードを何度やっても同じ文字列になってしまい、
わけわからん状態です。。。
どうしてなのでしょうか?
print $sessionid;
・・と、セッションIDを生成してるのですが、
リロードを何度やっても同じ文字列になってしまい、
わけわからん状態です。。。
どうしてなのでしょうか?
148nobodyさん
03/04/05 14:31ID:??? crypt って、先頭の何文字かしかみてなかったと思う。
150nobodyさん
03/04/05 18:53ID:??? DES(無印) = 8文字
MD5($1$) = 255文字(?)
BlowFish($2$) = ?
MD5($1$) = 255文字(?)
BlowFish($2$) = ?
152山崎渉
03/04/17 12:09ID:??? (^^)
153山崎渉
03/04/20 06:23ID:??? ∧_∧
( ^^ )< ぬるぽ(^^)
( ^^ )< ぬるぽ(^^)
154nobodyさん
03/04/22 07:11ID:WjOOaJ36 セッション管理しつつ、2重ログイン(複数の人が同じIDでログイン)を禁止
するには、どうすればいいのでしょうか?
するには、どうすればいいのでしょうか?
155(´д`;)ハァハァ
03/04/22 07:52ID:dKeQqhoi156nobodyさん
03/04/22 08:08ID:??? >154
「あなたは本当に○○さんですか?」というダイアログを出す。
SSL 使えないならマジこれしかない。
「あなたは本当に○○さんですか?」というダイアログを出す。
SSL 使えないならマジこれしかない。
157154
03/04/22 08:12ID:WjOOaJ36 あ、すいません、訂正
2重ログイン(複数の人が同じIDでログイン)
↓
2重ログイン(複数の人が同じIDで、同時に、ログイン)
2重ログイン(複数の人が同じIDでログイン)
↓
2重ログイン(複数の人が同じIDで、同時に、ログイン)
158nobodyさん
03/04/22 10:54ID:??? >>154
んん? どんなセッション管理の方法を使ってるのかわからんが……。
普通はそんな状況にはならんのではないのか?
IDとセッションを対で運用してる?
一つのIDには一つまでのセッションしかないようにすれば、解決しないか?
んん? どんなセッション管理の方法を使ってるのかわからんが……。
普通はそんな状況にはならんのではないのか?
IDとセッションを対で運用してる?
一つのIDには一つまでのセッションしかないようにすれば、解決しないか?
159nobodyさん
03/04/22 18:52ID:??? >>157
設計しだいだな。ログイン時の IP アドレスを記録しておいて、
同一 ID に対する最終ログイン IP アドレスしか受け付けないように
するしかないか。
A → ログイン (成功)
A → ページ要求 (成功)
B → ログイン (成功)
A → ページ要求 (失敗)
B → ページ要求 (成功)
これは IP アドレスを個人特定のキーに使っているが、ID に対する
初回ログイン時に Cookie を発行して、ID と Cookie を検証するとか
そういう方法しかない。まぁこの話を聞いてピンとこなきゃあきらめれ。
設計しだいだな。ログイン時の IP アドレスを記録しておいて、
同一 ID に対する最終ログイン IP アドレスしか受け付けないように
するしかないか。
A → ログイン (成功)
A → ページ要求 (成功)
B → ログイン (成功)
A → ページ要求 (失敗)
B → ページ要求 (成功)
これは IP アドレスを個人特定のキーに使っているが、ID に対する
初回ログイン時に Cookie を発行して、ID と Cookie を検証するとか
そういう方法しかない。まぁこの話を聞いてピンとこなきゃあきらめれ。
160nobodyさん
03/04/22 22:54ID:??? Javaを使っている場合、JMSを使ってみるとか。Sessionオブジェクトを一定期間DBなんかに永続化して
ログイン時に同じオブジェクトが永続化されていればログイン中などの判定を下す…
色々な判定基準があるだろうけど。ちょっと実装が難しいかな。
ログイン時に同じオブジェクトが永続化されていればログイン中などの判定を下す…
色々な判定基準があるだろうけど。ちょっと実装が難しいかな。
161154
03/04/24 01:14ID:Dv9rntoL162nobodyさん
03/04/24 08:35ID:g+kZcsKr あのー、(トップ含めて)すべてのページをcgi'perl)にして、
セッション管理してたら、共用サーバだと追い出されます?
セッション管理してたら、共用サーバだと追い出されます?
164162
03/04/26 19:48ID:bCd38fy3165nobodyさん
03/04/26 20:29ID:M/JTw+9v ∧∧ ミ _ ドスッ
( ,,)┌─┴┴─┐
/ つ.;ダブダブ-│
〜′ /´ └─┬┬─┘
∪ ∪ ││ _ε3
゛゛'゛'゛
おかずなら過激に
http://www.dvd01.hamstar.jp
( ,,)┌─┴┴─┐
/ つ.;ダブダブ-│
〜′ /´ └─┬┬─┘
∪ ∪ ││ _ε3
゛゛'゛'゛
おかずなら過激に
http://www.dvd01.hamstar.jp
166bloom
03/04/26 20:29ID:4lzrogLr167nobodyさん
03/05/10 21:17ID:NHls6sVf age
168nobodyさん
03/05/10 21:48ID:1U30OwKY169nobodyさん
03/05/22 01:04ID:Ql5nBZ7C perlとクッキーで強引につくってしまったが重いー
170動画直リン
03/05/22 01:08ID:x2YZ4VCE171山崎渉
03/05/22 01:55ID:??? ━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―
172山崎渉
03/05/28 17:22ID:??? ∧_∧
ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。
=〔~∪ ̄ ̄〕
= ◎――◎ 山崎渉
ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。
=〔~∪ ̄ ̄〕
= ◎――◎ 山崎渉
173山崎 渉
03/07/15 11:14ID:???__∧_∧_
|( ^^ )| <寝るぽ(^^)
|\⌒⌒⌒\
\ |⌒⌒⌒~| 山崎渉
~ ̄ ̄ ̄ ̄
174nobodyさん
03/07/20 19:23ID:H04Zp+KF 申込フォームがたくさんあるサイトを構築していて、
申込フォームが2,3ページまたがるページが多いとする。
(申込1->申込2->確認->完了のような)
この場合、その申込フォーム毎にsessionで
パラメータ受け渡しするのって割と普通にやるもん?
hiddenで持ちまわしてもいいんだけど、
入力不備があって前のページに戻したい時
入力されたパラメータを維持させた状態で前のページに戻そうとすると
LocationだとGETで渡すしかなくて、それだとURLに出てしまう。
sessionでやれるんであればそのページ自体にPOSTして
入力チェックもそのページ内のコードで完結できて
あとはLocationで飛ばせばすむ。
申込フォーム毎にセッション作るっておかしい?
それくらいhiddenでやるべき?
マジレスきぼん。
申込フォームが2,3ページまたがるページが多いとする。
(申込1->申込2->確認->完了のような)
この場合、その申込フォーム毎にsessionで
パラメータ受け渡しするのって割と普通にやるもん?
hiddenで持ちまわしてもいいんだけど、
入力不備があって前のページに戻したい時
入力されたパラメータを維持させた状態で前のページに戻そうとすると
LocationだとGETで渡すしかなくて、それだとURLに出てしまう。
sessionでやれるんであればそのページ自体にPOSTして
入力チェックもそのページ内のコードで完結できて
あとはLocationで飛ばせばすむ。
申込フォーム毎にセッション作るっておかしい?
それくらいhiddenでやるべき?
マジレスきぼん。
175八重洲支店
03/07/20 20:39ID:???177山崎 渉
03/08/02 02:25ID:??? ∧_∧
( ^^ )< ぬるぽ(^^)
( ^^ )< ぬるぽ(^^)
178nobodyさん
03/09/04 01:42ID:wD/9gEl4 PHPのsession.gc_probabilityって変更してます?
179nobodyさん
03/09/04 16:49ID:i0S65Zr2 ヤフーのIDってどうやってブラウザーで
セッション情報保持してんの?
クッキーすててもログアウトするまでID残ってんだけど・・・
誰か知らない??
セッション情報保持してんの?
クッキーすててもログアウトするまでID残ってんだけど・・・
誰か知らない??
182nobodyさん
03/09/10 23:46ID:xZuE4Q/q ファイルとしてのクッキーは捨ててもメモリーには
残るんですね・・・・・・
残るんですね・・・・・・
183●のテストカキコ中
03/09/10 23:50ID:??? http://ula2ch.muvc.net (このカキコは削除しても良いです)
184nobodyさん
03/12/25 17:34ID:??? レンタルサーバーにショッピングサイトを作りたいのですが
↓みたいなのでいいと思いますか?
使用可能な環境
SSL CGI SQLDB
ログイン画面→画面1→画面2→画面3
(全部SSL)
1.ログイン画面でID・パスワードを入れる
SQLDBと比較してOK
2.セッションIDを生成しクッキー作成(期限無効メモリー内)
サーバー上のセッションIDファイルへ追加
3.画面2→画面3へ移るたびにクッキーの
セッションIDとサーバーのセッションIDファイルを
比較してチェック
今迷っているのはセッションIDをどう生成するかです。
また、画面移動するたびにチェックが必要なのでしょうか。
みなさんはどうしていますか?
↓みたいなのでいいと思いますか?
使用可能な環境
SSL CGI SQLDB
ログイン画面→画面1→画面2→画面3
(全部SSL)
1.ログイン画面でID・パスワードを入れる
SQLDBと比較してOK
2.セッションIDを生成しクッキー作成(期限無効メモリー内)
サーバー上のセッションIDファイルへ追加
3.画面2→画面3へ移るたびにクッキーの
セッションIDとサーバーのセッションIDファイルを
比較してチェック
今迷っているのはセッションIDをどう生成するかです。
また、画面移動するたびにチェックが必要なのでしょうか。
みなさんはどうしていますか?
185nobodyさん
03/12/26 13:34ID:??? PHP4やクッキーでいろいろセッション管理調べて
試したけど、どれも一長一短でいまいち。
そこで、ふと思いついたんだけど
セッションIDなんて使うから危険?
単純に hidden + POST(GETはダメ) + SSL(必須) で
ID+パスワードをパラメータで毎回送って
全ページで認証すればいいような。
PHP使おうが、クッキー使おうがどっちみち
セッションIDの認証は全ページしないといけない
事を考えるとレスポンス自体もそんなにかわらない
ような気がするし、セキュリティーの
観点から見ても結構いいと思うけど
どうでしょうか。
なによりも
携帯端末でもこの仕組みなら問題ないしね。
試したけど、どれも一長一短でいまいち。
そこで、ふと思いついたんだけど
セッションIDなんて使うから危険?
単純に hidden + POST(GETはダメ) + SSL(必須) で
ID+パスワードをパラメータで毎回送って
全ページで認証すればいいような。
PHP使おうが、クッキー使おうがどっちみち
セッションIDの認証は全ページしないといけない
事を考えるとレスポンス自体もそんなにかわらない
ような気がするし、セキュリティーの
観点から見ても結構いいと思うけど
どうでしょうか。
なによりも
携帯端末でもこの仕組みなら問題ないしね。
186nobodyさん
03/12/26 19:06ID:??? アホか・・・
188nobodyさん
04/01/31 14:44ID:3hbTQvCa どなたか、セッション管理について分かりやすく書かれているサイトを教えてくださいませんか
190nobodyさん
04/02/01 02:24ID:???191nobodyさん
04/02/01 11:38ID:WI3J2wo7 クッキー吐き出さん、携帯端末でブラウザとサーバー間で行う
セッション管理のような真似はできまつか...
セッション管理のような真似はできまつか...
194nobodyさん
04/02/01 11:59ID:WI3J2wo7195nobodyさん
04/02/01 12:08ID:??? 質問の仕方を覚えたらまた来てくれ。
196nobodyさん
04/02/01 23:33ID:+Nypdzo/ ASPのsession管理ってcookieオフってると使えないのですか?
PHPは?
javaもcookie使ってるの?
PHPは?
javaもcookie使ってるの?
197nobodyさん
04/02/02 00:06ID:???198nobodyさん
04/02/02 03:43ID:??? マニュアルくらい読めよカスども
199nobodyさん
04/02/02 03:53ID:??? ログを読まずに同じ質問でループさせるカスも終了してほしい。
200nobodyさん
04/02/03 20:12ID:lxZMOySb >>199
ごめんちょ
ごめんちょ
201nobodyさん
04/02/07 03:27ID:??? どうでもいいけどこの板人少ないね
203nobodyさん
04/02/09 06:47ID:??? セクース相手をセショ-ン管理できますか?
いろんな店に行ってるので、どこ娘とやったのか覚えきらんのです。
だから、無期限の cookie を発行してセショ-ン管理したいなと。
いろんな店に行ってるので、どこ娘とやったのか覚えきらんのです。
だから、無期限の cookie を発行してセショ-ン管理したいなと。
205nobodyさん
2005/03/30(水) 04:26:02ID:??? セッションってどのぐらいの容量までいいの?
/tmp/sess_???
ファイルに入るんだよね。
DBにした場合フィールド長をどのくらいにしようかと・・・
/tmp/sess_???
ファイルに入るんだよね。
DBにした場合フィールド長をどのくらいにしようかと・・・
206nobodyさん
2005/03/30(水) 11:38:36ID:??? age
207nobodyさん
2006/02/19(日) 00:45:24ID:HErML43B 携帯向けセッション管理がわからないです・・・
hidden連れ回しじゃなくURLリライティング?とかでやりたいんですけど
apacheのmod_rewriteとかでいいんでしょうか?
情報お願いします
hidden連れ回しじゃなくURLリライティング?とかでやりたいんですけど
apacheのmod_rewriteとかでいいんでしょうか?
情報お願いします
208nobodyさん
2006/11/01(水) 10:50:28ID:??? 保守
209nobodyさん
2007/05/21(月) 17:57:45ID:6xHZsetU >>2ならこのスレのみんなに理想どおりの彼女ができる
210nobodyさん
2008/07/18(金) 21:53:52ID:9ZIfrdcC Perl CGI::Sessionでセッション管理
Cookieからセッションidを読み取れた = Cookieオンである
と判断して間違いないでしょうか?
それとも、Cookieからセッションidを読み取れたが、
Cookieに書き込みができない、という状況も想定するべきですか?
Cookieからセッションidを読み取れた = Cookieオンである
と判断して間違いないでしょうか?
それとも、Cookieからセッションidを読み取れたが、
Cookieに書き込みができない、という状況も想定するべきですか?
211nobodyさん
2008/11/24(月) 08:36:45ID:??? 歴史を感じる
212nobodyさん
2010/11/06(土) 12:14:09ID:??? 適当に過ぎちゃって、今更ちゃんとやろうとすると難しいなw
Perlのセッションの決定版書籍ってないかな。
Perlのセッションの決定版書籍ってないかな。
213山崎 渉
2011/03/29(火) 00:33:24.36ID:??? ∧_∧
( ^^ )< ぬるぽ(^^)
( ^^ )< ぬるぽ(^^)
215nobodyさん
2014/01/18(土) 09:29:59.63ID:??? あ
2014/03/25(火) 09:00:27.64ID:???
俺たち未来から来た。 perlで。
時代が流れ流れて 2014年の perlはこんなかんじになったぞい ちなみにperl自体ですら鯖になるんだぞい
セッション管理とデータベースをバインド ちなロシア製
$self->plugin('session' => {
store => MojoX::Session::Store::Dbi->new(
dbh => DBI->connect('DBI:mysql:MyApp:', 'user', 'pass'),
),
transport => MojoX::Session::Transport::Cookie->new,
expires_delta => 36000,
stash_key => 'mojox-session',
});
# Router
my $r = $self->routes;
# /nurupo にアクセスすると welcome ページを表示
$r->get('/nurupo')->to('example#welcome');
my $logged_in = $r->bridge->to( 'example#login');
## / とか /hogehogeとかにアクセスしようとすると ログインしてないと ログイン画面に戻る セッション?そんなもん意識したら負け
$logged_in->get('/')->to( 'example#welcome');
$logged_in->get('/hogehoge')->to( 'example#hoegehoe');
時代が流れ流れて 2014年の perlはこんなかんじになったぞい ちなみにperl自体ですら鯖になるんだぞい
セッション管理とデータベースをバインド ちなロシア製
$self->plugin('session' => {
store => MojoX::Session::Store::Dbi->new(
dbh => DBI->connect('DBI:mysql:MyApp:', 'user', 'pass'),
),
transport => MojoX::Session::Transport::Cookie->new,
expires_delta => 36000,
stash_key => 'mojox-session',
});
# Router
my $r = $self->routes;
# /nurupo にアクセスすると welcome ページを表示
$r->get('/nurupo')->to('example#welcome');
my $logged_in = $r->bridge->to( 'example#login');
## / とか /hogehogeとかにアクセスしようとすると ログインしてないと ログイン画面に戻る セッション?そんなもん意識したら負け
$logged_in->get('/')->to( 'example#welcome');
$logged_in->get('/hogehoge')->to( 'example#hoegehoe');
217nobodyさん
2014/08/06(水) 11:04:08.52ID:??? ぬるぽ
218nobodyさん
2015/02/16(月) 14:22:56.10ID:??? あけおめ
219nobodyさん
2017/12/30(土) 15:25:15.64ID:YhlYw6jg 誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『半藤のブブイウイウレレ』 というサイトで見ることができます。
グーグル検索⇒『半藤のブブイウイウレレ』
GAG6LMPRK5
参考までに、
⇒ 『半藤のブブイウイウレレ』 というサイトで見ることができます。
グーグル検索⇒『半藤のブブイウイウレレ』
GAG6LMPRK5
220首都圏鉄道各社、18日から運賃一斉値上げ
2023/03/15(水) 16:40:44.48ID:Ld69gOrI 首都圏の鉄道各社が18日、一斉に運賃の値上げに踏み切る。多くは国の制度を活用したホームドアなどバリアフリー設備の整備促進を前提とした値上げだが、新型コロナウイルス禍による乗客減少を理由に通常の手続きで運賃改定を行う会社もある。生活必需品などの値上げが相次ぐ中、一段と財布に冷たい風が吹き込みそうだ。
「できれば目標を前倒しして整備していきたい」
18日から国の「鉄道駅バリアフリー料金制度」を活用した値上げを実施するJR東日本。同社は令和13年度までに東京圏330駅にホームドアを設置する目標だが、深沢祐二社長は増収分でさらなる整備の加速に取り組む考えを示した。
JR東はホームドア設置に加え、段差解消やトイレの改良などバリアフリー化に要する費用を、既に投資した分を含め6千億円近くと見込む。制度利用による増収分は年約230億円と予測されるだけに、同社にとってメリットは大きい。
運賃を値上げする際、事業者は国の認可が必要となる。認可条件にも鉄道事業が3年連続で赤字になることなどが含まれ、審査のハードルは高い。だが、3年12月創設の同制度は、値上げ分の使途がバリアフリー化に限定される代わりに審査不要の届け出制だ。
また、値上げ幅のルールはないが、乗客に「薄く広く」負担を求めるとされ、国実施のアンケートでも値上げ幅は「10円まで」が許容範囲との趣旨の回答が6割に上り、各社ともそれに沿った対応をしている。
「できれば目標を前倒しして整備していきたい」
18日から国の「鉄道駅バリアフリー料金制度」を活用した値上げを実施するJR東日本。同社は令和13年度までに東京圏330駅にホームドアを設置する目標だが、深沢祐二社長は増収分でさらなる整備の加速に取り組む考えを示した。
JR東はホームドア設置に加え、段差解消やトイレの改良などバリアフリー化に要する費用を、既に投資した分を含め6千億円近くと見込む。制度利用による増収分は年約230億円と予測されるだけに、同社にとってメリットは大きい。
運賃を値上げする際、事業者は国の認可が必要となる。認可条件にも鉄道事業が3年連続で赤字になることなどが含まれ、審査のハードルは高い。だが、3年12月創設の同制度は、値上げ分の使途がバリアフリー化に限定される代わりに審査不要の届け出制だ。
また、値上げ幅のルールはないが、乗客に「薄く広く」負担を求めるとされ、国実施のアンケートでも値上げ幅は「10円まで」が許容範囲との趣旨の回答が6割に上り、各社ともそれに沿った対応をしている。
221nobodyさん
2023/10/14(土) 03:41:15.07ID:??? 大丈夫?
レスを投稿する
ニュース
- 佐藤二朗 ハラスメント報道にコメント「大変残念。全ての事実が明らかになることを望みます」所属事務所「到底受け入れられない」★58 [Ailuropoda melanoleuca★]
- 佐藤二朗 ハラスメント報道にコメント「大変残念。全ての事実が明らかになることを望みます」所属事務所「到底受け入れられない」★59 [Ailuropoda melanoleuca★]
- 【サッカー】日本代表監督に立候補の本田圭佑 コーチングライセンスに関する3年前の投稿をXに再掲載… ライセンス購入制度を提案 [冬月記者★]
- 【サッカー】「塩貝健人の発言が勝因」とD・サントス断言「我々にとってモチベーションになった」★2 [ゴアマガラ★]
- 自民「審議拒否は時代遅れ」と野党批判 玉木氏「政府の拒否が実態」 [蚤の市★]
- もっちゅりんやフェルメールに行列…日本人が並ぶルーツは「農耕民族の遺伝子」が原因か [バイト歴50年★]
- 【フジテレビ】2026 FORMULA 1【NEXT】Lap57
- Cycle*2026 サイクルロードレース総合実況22
- ハム専4
- やくせん ★2
- わしせん2
- 【F1】F1TV&FODスレ【F2,F3,SF...】Lap14
- 【悲報】三谷幸喜、橋本愛を論破「演技に対する情熱が、ハラスメントと誤解されることもある」 [398059782]
- ソシャゲで使う名前考えろ
- 40代~60代しかいないコミュニティ [685321817]
- 【高市悲報】闇バイト、超絶ブラック職場!1回報酬3万(交通費自費)の約束で、7回で6760万奪った受け子。一度も報酬貰えず懲役6年罰金200万 [219241683]
- 【悲報】ヘグセス、トランプに「なんで同盟国を粗末に扱うんだ」とブチギレられるwww [834922174]
- 🏡😁🖕