社内LTで発表した資料。

PHPのsessionIdのデフォルトの動作に関して、 - アクセス元IP - 現在時刻 - ランダムな文字列 を MD5 や SHA1 でハッシュ化している。というのが一般的に言われているのだけれども、実際のところどうなっているのかわからないのでソースコードを読んでみた話。

• PHP のソースコードは Github に上がってます。
  • https://github.com/php/php-src
• PHP実行時設定辺りを読んでcookie,session周りをちゃんと設定しましょう。
  • http://php.net/manual/ja/session.configuration.php

徳丸生成にコメントもらった。

「なんか不安?」というのは正しい感覚。entropy_fileに/dev/urandom指定を推奨。独自乱数は推奨しません PHPの sessionId ってどうなっているの？ slideshare.net/yosshi1202/php…

— 徳丸　浩 (@ockeghem) May 24, 2012

PHPのセッションをデフォルトのまま使いがちなので、ちゃんと設定して使いましょうというお話でした。

パーフェクトPHP (PERFECT SERIES 3)

posted with amazlet at 12.05.24

小川 雄大 柄沢 聡太郎 橋口 誠
技術評論社
売り上げランキング: 13909

Amazon.co.jp で詳細を見る