[PHP-users 21231]PHPSESSIDに格納した値の改ざん

中野 正敏 masatoshi_nakano @ hotmail.com
2004年 4月 12日 (月) 00:58:01 JST


中野です。

セッションに格納した値が、改ざん可能かどうか調べております。
既知の方がいらしたら、ご教授お願いいたします。

1. $_SESSION["s_id"] = $id; #$idをPHPSESSIDに格納
2. $id = $_SESSION["id"]; #PHPSESSIDに格納された値を取得
という流れで、考えております。

例
格納されている$idの値を
$id=10001→$id=10002
と、改ざんできるでしょうか?

PHPSESSID自体が改ざん可能であることは、確認しましたが、そのPHPSESSIDに格納さ
れている値が、改ざん可能であるかの確認ができません。
サーバ側(/tmp)にアクセスし、PHPSESSIDに格納されている値を改ざんする、とい
うのは今回は対象としていません。

Server環境
Redhat7.3
PHP4.3.4

どうぞ、よろしくお願いいたします。

_________________________________________________________________
友達と24時間ホットライン「MSN メッセンジャー」、今すぐダウンロード!  
http://messenger.msn.co.jp 



PHP-users メーリングリストの案内