携帯投稿テスト
2006/06/22 木曜日 - 10:10:11 by webmasterユーザー認証チェック案メモ。
IDとPASSで認証した時に、セッションIDをテーブルに退避させておく。
ログアウト時もしくはCRONで設定時刻過ぎたらユーザー認証テーブルのセッションIDもクリアする。
セッションIDをキーに認証チェックさせて、タイムスタンプ更新する。このとき、セッションIDも再発行させる。
これで、一度認証チェックしたセッションIDでは認証チェックが通らない。
セッションハイジャック対策はこれでよいか?