ch06 — Session セキュリティ (regenerate_id / 固定化)
スライドで見るこの章を AI と学ぶ
💬 AI に聞く質問例 3 件
-
「ch06 — Session セキュリティ (regenerate_id / 固定化)」のつまずきやすいポイントを、初学者向けに3つ教えてください
-
「ch06 — Session セキュリティ (regenerate_id / 固定化)」について、自分の手で試せる練習問題を3つ出してください (難易度を上げながら)
-
「ch06 — Session セキュリティ (regenerate_id / 固定化)」を学んだ後、次に学ぶと良いトピックは何ですか?理由も教えてください
演習問題の詳細
この章の演習問題の内容を読めます。実際に手元で解くには教材リポジトリを clone してください。
ドリル 01 — `session_regenerate_id(true)` で ID を作り直す
問題
ログイン時の Session ID 再生成を再現してください。
session_start()直後の Session ID (採点用スタブでTESTSESSIONID) を変数に保存session_regenerate_id(true)を呼ぶ- 再取得した Session ID と比較し、異なれば
"changed: yes"、同じなら"changed: no"を 1 行出力
期待される出力:
changed: yes
ヒント
$oldId = session_id();
@session_regenerate_id(true);
$newId = session_id();
echo ($oldId !== $newId ? "changed: yes" : "changed: no") . "\n";本物のセッション動作で確認したい場合
cd topics/session-cookie/ch06-session-security/drill/01-regenerate-id/
php -S localhost:8000 answer.php
ブラウザの開発者ツールで PHPSESSID を見ながらリロード、再生成のタイミングで Cookie 値が変わることを確認。
🧪 ブラウザで試す
スライドのコードを写経して ▶ 実行、自分で書いて 📝 採点 で答え合わせ。初回のみ PHP ランタイム読込で数秒かかります。
PHP ランタイム未読込
ドリル 02 — Session Fixation シナリオ — ログイン時に ID 再生成で防ぐ
問題
固定化攻撃のシナリオを 1 スクリプトで擬似化します。
シナリオ:
- 攻撃者から渡された ID
ATTACKERFIXEDIDで Session を開始 (採点用スタブでsession_id()をこの値にセット) - ユーザーがログイン処理を実行
- ログイン直後に
session_regenerate_id(true)を呼ぶ - ログイン後の Session ID が攻撃者の渡した固定 ID と 異なる ことを確認
出力仕様:
- 「ログイン前の ID」と「ログイン後の ID」が同じか異なるかを判定
- 異なれば
"safe: regenerated"、同じなら"vulnerable: fixation"を 1 行出力
期待される出力:
safe: regenerated
(session_regenerate_id(true) を呼ばないと vulnerable: fixation になる)
ヒント
// スタブで session_id('ATTACKERFIXEDID') がセットされている前提
$oldId = session_id(); // ATTACKERFIXEDID
$_SESSION['user'] = ['name' => '太郎']; // ログイン
@session_regenerate_id(true); // ★ ここがポイント
$newId = session_id();
echo ($oldId !== $newId ? "safe: regenerated" : "vulnerable: fixation") . "\n";ポイント
- ログイン直後に必ず
session_regenerate_id(true)を呼ぶ のが固定化攻撃の最小防御 trueを渡し忘れると古い Session が残るので注意 (引数の名前はdelete_old_session)- ログアウト時の
session_destroy()と組み合わせて運用するのが定石
🧪 ブラウザで試す
スライドのコードを写経して ▶ 実行、自分で書いて 📝 採点 で答え合わせ。初回のみ PHP ランタイム読込で数秒かかります。
PHP ランタイム未読込
演習問題(2問)
サイト内で問題文・雛形・解答例を確認できます。実際に手元で解くには教材リポジトリを clone してください。
完了にすると進捗に反映されます