Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

PHP

2013年3月9日
PHP のセッション ID をより安全にする簡単な方法

PHP のデフォルトのセッション ID は、暗号論的擬似乱数生成器で作成されている訳ではないので、完全に推測不可能という訳ではありません。 ですが、php.ini に以下の設定をすることで暗号論的擬似乱数生成器でセッション ID を生成するようになります(Linuxの場合)。設定後、Apache の再起動が必要です。 [crayon-587e13774a5f1613272018/] ...
>>続きを読む

2013年3月2日
PHP でレスポンスヘッダーの Content-Type に文字コードを指定する方法

PHP は、デフォルトでレスポンスヘッダーの Content-Type に文字コードに UTF-8 が出力されます(PHP5.3.3で動作確認)。ですが、文字コードは明示的に指定した方がよいでしょう。 Content-Type に文字コードを出力するには、php.ini で設定して全体に設定を反映させる方法と、各ページで設定する方法があります。 全体に反映させるには、php.ini に...
>>続きを読む

2013年3月1日
PHP のセッション ID に HttpOnly 属性と secure 属性を付与する

PHP のセッション ID は、デフォルトでは HttpOnly 属性と secure 属性の両方とも付与されていません。 これを /etc/php.ini で以下のように指定することで、HttpOnly 属性と secure 属性を付与することができます。項目は php.ini に既に記述されているので設定を書き換えてください。 [crayon-587e13774cb2886815...
>>続きを読む