大垣です。 > 32桁の半角英数のみというのは妥当性チェックとしては弱いと思いま > すので、もう少し強固な妥当性チェックが良いでしょう。セッション > IDは自分で作成し、session_id($id)で独自に設定する必要があると > 思います。 現在のPHPのセッションモジュールは十分ランダムな文字列を生成して います。独自にセッションIDを設定する場合は規則性が無い文字列が 生成されていることを保証しないとセキュリティーホールになります。 # そういえば、Javaなアプリケーションサーバが予測可能なセッション # IDを生成していたりしましたね。今はこのようなプログラムが残って # いないことを願います。 -- Yasuo Ohgaki