[PHP-users 24539] Re: セッションデータ（クッキー）の書き換え・・セキュリティー

[Takashi Hagiwara]

こんにちは。萩原と申します。

>セッションデータは何も指定しない場合クッキーとして個人端末PCに保
>存されるのでしょうか?
PHPの初期設定では、
「php.ini」内のsession.use_only_cookiesが有効になっています。
ですので、セッションデータはクッキーとして書き込まれます。この場合のクッ
キーは有効期限が指定されていないもので、仮想メモリ上にデータが書き込まれ
るため、ユーザーがテキストファイル等の形式で確認することはできなかったと
思います。

>windowsのinternetExploreは、クッキーは一時ファイル保存場所と同じ
>と聞きましたが、一時ファイルがある場所にセッション用のクッキーを
>見つけることは出来ませんでした。・・では、クッキーは一体どこに保
>存されているのでしょうか?
セッションに使用しているクッキーは、上述の理由から表示されませんが、
通常のクッキーであればWindowsXPでは
「C:\Documents and Settings\ユーザー名\Cookies 」
に保存されています。

>この場合、クッキーデータは個人が書き換え
>て悪用したり他人になりすましたりすることは可能なのでしょうか?
可能性は0ではないです。が、対策を取ることはできます。
マニュアルの「セッションとセキュリティ」の項目をご参照ください。
http://www.php.net/manual/ja/ref.session.php