Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年3月9日
最終更新日:2013年12月26日

PHP のセッション ID をより安全にする簡単な方法

PHP のデフォルトのセッション ID は、暗号論的擬似乱数生成器で作成されている訳ではないので、完全に推測不可能という訳ではありません。

ですが、php.ini に以下の設定をすることで暗号論的擬似乱数生成器でセッション ID を生成するようになります(Linuxの場合)。設定後、Apache の再起動が必要です。

Windows では、session.entropy_file の指定は不要で、PHP5.3.3以降であれば session.entropy_length に 0 以外の数値を設定するだけで OK です。

なお、この設定によって、セッションID の長さが26桁より長くなる訳ではありません。

簡単に設定できるので、是非やっておきたいですね。


スポンサーリンク




カテゴリー:PHP

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA