[PHP-users 21231]PHPSESSIDに格納した値の改ざん
中野 正敏
masatoshi_nakano @ hotmail.com
2004年 4月 12日 (月) 00:58:01 JST
中野です。
セッションに格納した値が、改ざん可能かどうか調べております。
既知の方がいらしたら、ご教授お願いいたします。
1. $_SESSION["s_id"] = $id; #$idをPHPSESSIDに格納
2. $id = $_SESSION["id"]; #PHPSESSIDに格納された値を取得
という流れで、考えております。
例
格納されている$idの値を
$id=10001→$id=10002
と、改ざんできるでしょうか?
PHPSESSID自体が改ざん可能であることは、確認しましたが、そのPHPSESSIDに格納さ
れている値が、改ざん可能であるかの確認ができません。
サーバ側(/tmp)にアクセスし、PHPSESSIDに格納されている値を改ざんする、とい
うのは今回は対象としていません。
Server環境
Redhat7.3
PHP4.3.4
どうぞ、よろしくお願いいたします。
_________________________________________________________________
友達と24時間ホットライン「MSN メッセンジャー」、今すぐダウンロード!
http://messenger.msn.co.jp
PHP-users メーリングリストの案内