[PHP-users 29404] Re: ショッピングカートのセッション利用に関して

[Y.Watanabe]

渡辺です。

> アマゾンなどと同じタイプの会員制のショッピングサイトを構築しています。
> セッションでカートの中の商品を管理しようと思っています。
> 
> ログイン前にセッションIDの発行があるとセキュリティ的に悪いと書かれているサイトをいくつか見たので
> すが、
> session_regenerate_id()を使ってセッションIDを常に新しくしていても良くないのでしょうか？

常にっていうのがどの程度の頻度かわかりませんが、
たとえば数分毎にsession_regenerate_id()してるんならそれで問題ないと思います。
ただし、session_regenerate_id()については、
セッションIDを変えてくれるのはいいんだけど
古いほうのセッション情報をファイルシステムから消してくれないという
バグというかよろしくない仕様があった時期がありましたので
そのへんは確認しといたほうがよいでしょう。

> それともログイン前はセッションと関係の無いクッキーで商品を管理したほうが良いのでしょうか？

それができればそれに越したことはないですが
通常のphpのセッションまわりの管理がちゃんとできてるんなら
別個にする必要はないと思います。