セッションIDの受渡し
セッションIDの通知を行うためには次の二つの方法があります。
- Cookies
- URLパラメータ
sessionモジュールは、両方の方法をサポートします。 Cookieは最適ですが、(クライアントがCookieを受け入れない可能性が あるため)信頼性がなく、これに依存することができません。2番目の方 法は、セッションIDを直接URLに埋め込みます。
PHPには、透過的にリンクを変換する機能を有しています。
この実行時オプション
session.use_trans_sid
が有効な場合、
相対URIは自動的にセッションIDを含むように変換されます。
注意:
arg_separator.output php.ini ディレクティブにより、引数セパレータをカスタマイズする ことができます。XHTMLに完全準拠するためには、ここに & を指定してください。
もしくは、セッションが開始している場合に定義されている定数
SID
を使用することもできます。クライアントが適当な
セッションクッキーを送信しなかった場合、この定数は
session_name=session_id
の形式となります。
他方、送信された場合には、この定数は空の文字列に展開されます。
このため、この定数を無条件に URL に埋め込むことができます。
次の例は、変数の登録法および SID
を用いて他のページに正しくリンクする方法のデモです。
例1 単一のユーザーに関するヒット数を数える
<?php
session_start();
if (empty($_SESSION['count'])) {
$_SESSION['count'] = 1;
} else {
$_SESSION['count']++;
}
?>
<p>
こんにちは、あなたがこのページに来たのは <?php echo $_SESSION['count']; ?> 回目ですね。
</p>
<p>
続けるには、<a href="nextpage.php?<?php echo htmlspecialchars(SID); ?>">ここをクリック</A>
してください。
</p>
XSSに関係する攻撃を防止するためにSID
を出力する際に、
htmlspecialchars()を使用します。
PHPをコンパイルする際に
--enable-trans-sid を使用した場合、
上の例のように SID
を出力する必要はありません。
注意:
相対URLでないURLは外部サイトを指していると仮定され、
SID
が追加されません。これは、SID
を外部のサーバーに開示することはセキュリティ上のリスクとなる可能性があるためです。
User Contributed Notes 2 notes
The first time a page is accessed, PHP doesn't yet know if the browser is accepting cookies or not, so after session_start() is called, SID will be non-empty, and the PHPSESSID gets inserted in all link URLs on that page that are properly using SID.
This has the consequence that if, for example, a search engine bot hits your home page first, all links that it sees on your home page will have the ugly PHPSESSID=... in them.
This appears to be the default behavior. A work-around is to turn on session.use_only_cookies, but then you lose session data for anyone who has their cookies turned off.
The constant SID would always be '' (an empty string) if directive session.use_trans_sid in php ini file is set to 0.
But set session.use_trans_sid to 1 is not effective if director session.use_only_cookies is 1.
try:
session_start(['use_only_cookies'=>0])
or
session_start(['use_only_cookies'=>0,use_trans_sid=1])