[PHP-users 14328] Re: セッションと戻るボタンとセキュリティと

[php-users ＠ php.gr.jp]

SUMiです。

> >セッションIDですが、デフォルトでは一定時間が経過すると使用されていないセッ
> >ション情報は破棄（ガベージコレクト）されます。
> >よって、上記の方法ではメールを送信した後、ユーザーが記載されたURLへアク
> >セスするまでに時間がかかった場合、既にセッション情報は破棄され認証に失敗
> >する可能性があります。
> 
> 明示的に何日間有効というのはプログラム上設定していませんし、ユーザーにも
> アナウンスしていませんが、有効期限が切れるのは都合がいいと思っています。
> ウェブページ → メール →  ウェブページ と遷移するわずかな時間だけ有効で
> あればよいので。その間にDB登録などバックエンドの作業もありますし、時間が
> 経過していろいろ状況が変わる可能性まで加味しなければならなくなります。
> 運用してみて将来的には有効期限も設定する必要があるかもしれませんが、
> 現状ではデフォルトでは長い（充分）気がしています。

http://search.net-newbie.com/php/ref.session.html
によると、デフォルトは1440秒＝24分です。
何日、というような長い時間は保持していませんのでご注意を。