人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

PHPでの認証について質問です。

いままで認証というのを漠然と使っています。
セッションとクッキーのどちらかを使うことが多いのですが、以下の認識でいます。
■クッキー
ユーザーPCに対応するクッキー情報が保管される
クッキーを使えないものが使用する可能性がある場合は使えない
■セッション
セッションIDなどはWEBサーバー側での保管となる。
セキュリティ的にはこちらの方が良いのではないかと勝手に認識している
実際に使用する内容や扱うデータの内容で変化すると思うので一概に言えないとは思いますが、使い分ける基準やそれぞれの長所や短所などがあれば教えてください。

●質問者: quocard
●カテゴリ:インターネット ウェブ制作
✍キーワード:pc PHP Web いもの クッキー
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● hanako393
●27ポイント

>セッションIDなどはWEBサーバー側での保管となる。

http://oku.edu.mie-u.ac.jp/~okumura/php/session.php

セッションIDはクッキに埋め込むことがほとんどです。

たまにクッキーが使えない場合は、URLにセッションIDを埋め込みます。

セッションID自体はクッキーで、クライアントに保存されます。

>セキュリティ的にはこちらの方が良いのではないかと勝手に認識している

その通りです。あとの認識も正しいです。

PHPならセッションを使ってないものはごくわずかです。

セッションを使う場合のデメリットがないに等しいですし、

PHPは言語レベルでサポートされてるので簡単です。

またフレームワークなどを使ってる場合は、セッションが使われますしね。

逆に、クッキーで実装するメリットと理由が思いつきません。

◎質問者からの返答

回答ありがとうございます。

こちらについては少々認識が違っている部分もありましたので、指摘いただけて助かりました。

確かにセッションでいければいいのですが、携帯だとセッションが有効に機能しないものもありましたので色々と検討してました。

こちらの内容を元に勉強がてら色々と調べてみたいと思います。


2 ● la-la-land
●27ポイント

どっちかというと携帯だとクッキーが有効に機能しないケースがある、です。

クッキーが使えない → セッションIDが保存できない → セッションが有効にならない

ふつうは携帯でもセッションを使います。クッキーが使えない場合があるのでセッションIDをURL末尾で持ちまわしてセッションを使う感じです。


携帯のセッションについてはセッションハイジャック問題などけっこう面倒なセキュリティの問題があるので、作るのはけっこう大変です

◎質問者からの返答

回答ありがとうございます。

URLに付けるのが有効そうですね。

たまにhiddenでキーを渡したりしてたりもしますが、URLとhiddenどちらがいいとかあるものなのでしょうか。


3 ● la-la-land
●26ポイント

どっちでも良いと思いますが、hiddenだと単純リンクでの画面遷移ができないですね。

javascriptを使えばリンクでページ遷移も可能ですが、携帯だとjavascriptが使えないケースもあります。

◎質問者からの返答

回答ありがとうございます。

たしかに全てbuttonとするとformも含める必要があるのでページ容量も増えますね。

状況によって使い分けていければと思います。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ