PHPのセッションについて
これ、以外にややこしいのでメモっておく。サイトの情報を自分なりに書いたので認識違いは
あるかも
php.ini
session.name = PHPSESSID
なので、このID名でセッションのパラメーター名が判明する。
PHPにはセッション固定化攻撃(Session Fixation)と呼ばれる問題点があり、この固定のセッションで
きた場合、同じセッションの定数が活用される可能性がある。
ちなみに、このセッションの定数が破棄されるタイミングはphp.iniで定義できる。
session.gc_probability 実施回数
session.gc_divisor これは、回数
この二つで実施回数が決まる。
session.gc_probability/session.gc_divisor となり、 1/100 となると1%の確率で実施される。
たとえば
session.gc_probability=1
session.gc_divisor=10
であれば、10回にGCで削除される。
session.gc_maxlifetime これが破棄の時間。 うちでは1440 だったので24時間ごと。
ちなみに、サイトごとに設定するのであば iniなどではなく、htaccesss等で保管場所を
変更したほうがよいようだ。 すべてセッションは一律削除される。
なので
session.save_path をサイトごとに設定するなどが考えられる。
なお、session.cache_expireより上記のGCの方が優先されるらしいです
これで分かった。ありがとうございます。
http://security.c-inf.com/index.php?Session%20Fixation
セッション確率の話し ほぼここの理解。
http://monolog.spanstyle.com/2005/07/session.html