[PHP-users 19899]Re: セッションデータの暗号化

[yoshiyuki fukutome]

ふくとめです。

On 01/14, jeejee hallo wrote:
> hjeejeeと申します。
> セッションデータを暗号化したいと思っています。
> 
> $_SESSION[aaa] = md5("aaa");
> $_SESSION[bbb] = md5("bbb");
> ....というものではキーが平文のままになります。
> 
> sees_ファイルの内容をまとめて暗号化するにはどうしたら
> よいのでしょうか。
> 参考のURL、アドバイスがありましたら
> お教えください。

ぱっと思いついたのは、session_set_save_handler() を使って
セッション関連の関数をカスタマイズしてしまうというものです。

セッション変数の保存、復帰やセッション開始、終了、破棄、ガ
ベージコレクトの処理を自前で書くことができるので、いかよう
にもなるかと。

本来、PHP が用意しているものを使わないので、セッション処理
に関する一般的な知識が必要になります。

今回の場合は、セッション変数をシリアライズした文字列を複合
化できる形式で暗号化して保存するという処理で実現できるかと
思います。

他にもっと楽でわかりやすい方法があるかもしれませんが、とり
あえず思いついてみました。

ところで、sess_* ファイルを見せたくないというだけなら、暗号
化ではなくセッション情報をデータベースに格納し、あとはデータ
ベースの利用権限に任せるというのも有用かと思います。

では、
-- 
fukutome yoshiyuki
tome ＠ nekomyu.org