TechAcademy(テックアカデミー) プログラミングPHPPHPでセッションを使う方法【初心者向け】
PHP

PHPでセッションを使う方法【初心者向け】

プログラミング初心者向けに【PHPでセッションを使う方法】を解説した記事です。セッションとは、コンピュータのサーバー側に一時的にデータを保存する仕組みです。PHPでは「session_start関数」を使います。

TechAcademyマガジンはオンラインのプログラミングスクールTechAcademy [テックアカデミー]が運営する教育×テクノロジーのWebメディアです。初心者でもすぐ勉強できる記事が2,000以上あります。

プログラミング初心者向けに、PHPの基礎を紹介する記事です。

今回は、PHPでセッションを使う方法を初心者向けに解説します。

 

なお本記事は、TechAcademyのPHPオンライン講座の内容をもとにしています。

また、開発環境はXAMPPを使っています。

そもそもPHPが何か分からない場合は、先にPHPとはの記事をご覧ください。

 

今回の記事の内容は動画でもご覧いただけます。
テキストよりも動画の方が理解しやすいという場合はぜひご覧ください。(動画は3つに分かれています)

 

セッションとは

セッションとは、コンピュータのサーバー側に一時的にデータを保存する仕組みのことです。

 

たとえば、Web上でのログイン情報や最終アクセスなど、ユーザーに直接紐づくような大切なデータをセッションに格納して使ったりします。

 

Cookie(クッキー)の仕組みととても似ていますが、Cookieはブラウザ側セッションはサーバー側と、それぞれデータの保存場所が異なります。

 

Cookieはブラウザ側に保存されるという性質上、ユーザーがデータを改ざんすることもできてしまうため、セッションのほうがよりセキュリティ的に安全だと言われています。

 

大石ゆかり

セッションというの何でしょうか?クッキーとは違うんですか?

田島悠介

簡単にすると、クッキー+サーバー側にもファイルを作成するっていうのがセッションかな。

大石ゆかり

クッキーって相手のブラウザのメモ帳にデータを記録しておくことですよね。サーバー側にも書いておくんですか?

田島悠介

セッションの場合は、相手には同じになりにくい一意の数値(ハッシュ値)だけを渡しておくんだ。そして、サーバー側では、その数値名でファイルを作成するんだよ。とりあえず、使い方などを見てみよう!

 

セッションの使い方

セッションの使い方ですが、シンプルに session_start関数 を使って開始し、この下でセッションを保存していくことができます。

 

実際に書いてみましょう。

[  ]の中に保存したいセッションの名前(ここではusername)を書き、代入演算子 = で代入したいもの(yamada)を書きます。

 

<?php
session_start();
$_SESSION[‘username’] = ”yamada”;
?>

 

これで一度、出力結果を確認します。

何も表示されない

ブラウザ側ではなにも表示されませんが、裏側のサーバーではセッションに yamada というデータが保存さています。

 

次に、このセッションをブラウザ上に取り出してみましょう。

取り出し方は、echo でこの SESSIN[‘username’] を取り出してあげれば、中身を取り出すことができます。

 

session_start();
$_SESSION[‘username’] = ”yamada”;
echo $_SESSION[‘username’] ;
?>

yamada

セッションはサーバー側に保存されているため、たとえ違うWebページにまたがっても、同じセッションを取り出すことができます。

 

 

[PR] PHPのプログラミングで挫折しない学習方法を動画で公開中

セッション削除の方法

次にセッションを削除していましほう。

削除には unset を使います。

 

<?php
session_start();
$_SESSION[‘username’] = ”yamada”;
unset($_SESSION[‘username’] );
?>

 

これで再びブラウザ側にアクセスしても、これまでと変わりません。しかし……

何も表示されない

 

裏側でセッションが消されているため、もう一度 echo で username  を出そうと思っても、値がないためエラーとなります。

<?php
session_start();
$_SESSION[‘username’] = ”yamada”;
unset($_SESSION[‘username’] );
echo $_SESSION[‘username’] ;
?>

エラー

 

このようにセッションでは、セッションに名前をつけて、変数のように値を入れて使い回すというようなことができます。

 

おわりに

今回の記事は以上です。

ログインの仕組みなど、Webサービスではいろいろ使っていきますので、覚えておいてくださいね。

PHPをさらに勉強したい場合は、PHPでCookieを使う方法 も合わせてご覧ください。

 

大石ゆかり

session_start関数が呼ばれて、その後に$_SESSIONっていうスーパーグローバル変数が使えるようになるんですね。

田島悠介

セッションがスタートされると、相手側に同じになりにくい番号が送られて、サーバー側にもその名前でファイルが作成されるんだ。xamppだとhtdocsフォルダと同じ階層のtmpフォルダに作成されてるよ。

大石ゆかり

$_SESSIONに何か書き込んだ場合っていうのは、そのファイルに書き込んだってことなんですか?

田島悠介

そうそう。tmpフォルダに、相手に送ったクッキーと同じ数値っぽい名前のファイルが作成されていて、$_SESSIONに書いたものは全部このファイルに書かれるんだよ。相手に送るクッキーは、セッションの場合は、常に数値だけなんだ。番号札って考えるとわかりやすいかも。

 

PHPを勉強していて、
・もっと効率的に勉強したい
・誰かに聞きながら学びたい
・自分でWebサービスを作りたい
と思ったことはないでしょうか?

そんな方のために、TechAcademyではオンラインブートキャンプPHP/Laravelコースを提供しています。

現役エンジニアがパーソナルメンターとして受講生に1人ずつつき、マンツーマンのメンタリングで学習をサポートし、最短4週間でオリジナルWebサービスを開発することが可能です。

独学に限界を感じている場合はご検討ください。

記事を検索

関連するキーワード

関連する記事

PHPでpow()関数を使う方法【初心者向け】

PHPでpow( )関数を使う方法について解説します。   なお本記事は、TechAcademyのPHP/Laravel講座の内容をもとに...
PHP

PHPの論理演算子の使い方【初心者向け】

PHPの論理演算子の使い方について解説します。 それぞれの書き方と意味を説明しながら比較演算子と論理演算子を組み合わせて解説しています。  ...
PHP

PHPのfgets関数でファイルの読み込みを行う方法【初心者向け】

この記事ではPHPによるファイル読み込みについて説明していきます。 そもそもPHPが何か分からない場合は、先にPHPとはの記事をご覧ください。 &n...
PHP

PHPのPHPUnitを使ってテストコードを書く方法【初心者向け】

PHPのPHPUnitを使ってテストコードを書く方法について解説します。 テストを実行する際の書き方を紹介しているので、ぜひ理解しておきましょう。 ...
PHP

PHPのvar_dumpで変数や配列の内容を出力する方法【初心者向け】

今回は初心者から上級者まで必ず覚えておきたいvar_dumpの使い方を解説しています。 HTML/CSSやJavaScriptでは、ブラウザ上でエラー部分...
PHP

Laravelでcollection(コレクション)を使う方法【初心者向け】

Laravelでcollectionを使う方法について解説します。 配列を操作しやすくする機能が多くあるので、使い方を知っておくと非常に便利でしょう。 ...
PHP

あわせてよく読まれている記事

ログイン・ログアウトで便利!Ruby on Railsでセッションを扱う方法【初心者向け】

RubyのフレームワークのRuby on Railsでセッションを扱う方法について解説しています。 facebookやTwitterなど普段使っているWebサービスには、ログイン機能があるものが多いかと思います。 Rubyについてそもそもよく分からないという方は、Rubyとは何なのか解説した記事をまずご覧ください。   なお本記事は、TechAcademyのWebアプリケーションオンラインブートキャンプの内容をもとに紹介しています。   田島悠介 ここではセッションについて解説するよ。 大石ゆかり 田島メンター!!セッションというのは何ですか~? 田島悠介 主にユーザーがログインしてからログアウトするまでの一連の動作のことをいうんだ。今回はセッションを用いたログイン実装について考えてみよう。 大石ゆかり 分かりました!   目次 セッションとは セッションの書き方 実際に書いてみよう   セッションとは セッションとは主にログイン時のロジックで使用されます。 普通のブラウザの通信では、ページを離れると、情報がすべて破棄されてしまいます。 そのため、セッションを使用して、ユーザー固有の値を保持することによってログインという機能を実装しています。Railsではsessionメソッドを使用して、実現しています。   [PR] PHPのプログラミングで挫折しない学習方法を動画で公開中セッションの書き方 セッションにユーザーの情報を入れる方法はとても簡単です。 session[:user_id] = user.id このようにセッションの中のuser_idカラムにuser.idを保存することで実現できます。 逆にログアウトを実装したい場合、値をnilにしてやればログインを実装することができます。 session[:user_id] = nil また、現在のセッションユーザーを取得したい場合も普通の検索と同じように書くことができます。 User.find(session[:user_id]) このようにとても簡単にセッションを書くことができます。   田島悠介 ユーザーのIDを、セッションに保存する方法だよ。 大石ゆかり ログアウトする場合はnilを使用するんですね。 田島悠介 次は実際に、メールアドレスとパスワードを使ったログインを書いてみよう。   実際に書いてみよう Racialでセッションを書く場合、session用のコントローラーを作成するのが一般的です。 emailと、passwordが正しかった場合、ログインするというコードを書くためには、このように記述すれば実装できます。 class SessionsController < ApplicationController def create if user = User.authenticate(params[:email], params[:password]) session[:user_id] = user.id    else render ‘create’ end end end authenticateは、passwordを実装するときに追加したhas_secure_passwordメソッドで定義されているメソッドです。 上のコードの場合emailとpasswordが一致するユーザーが見つかった場合trueを見つからなかった場合falseを返します。 もし見つかった場合、セッションにユーザーidを格納し、セッション完了します。見つからなかった場合、もう一度、createのviewをレンダリングします。   まとめ 今回はセッションについて解説していきました。 ログインはgemなどで簡単に実装することができますが、セッションの仕組みをわかっていないと思い通りにカスタマイズすることはできません。 しっかり理解するようにしましょう。   田島悠介 if文とsessionを使った簡単なログイン実装について説明したよ。 大石ゆかり メールアドレスとパスワードが正しい場合に、セッションにIDが入れられるんですね。 田島悠介 ログイン・ログアウトはWebサービスでも必ず使うことになるものなので、基本をしっかり理解しておこう。 大石ゆかり 分かりました。ありがとうございました!   [お知らせ]TechAcademyでは初心者でも最短4週間でオリジナルサービスが作れるRuby on Railsオンラインブートキャンプを開催しています。
Ruby

セッションを扱う!express-sessionを利用する方法【初心者向け】

今回は、express sessionについて解説します。 Node.js環境でexpressを使用して、セッション機能を行いたい場合に参考にしてみてください。   なお本記事は、TechAcademyのNode.jsオンライン講座の内容をもとに作成しています。   田島悠介 今回はexpress-sessionを使ってみよう。 大石ゆかり 田島メンター!express-sessionというのは何ですか~? 田島悠介 express-sessionはセッション管理を行うモジュールなんだ。まずはインストール方法と基本の形、次に実際の記述例を見ていくよ。 大石ゆかり 分かりました。お願いします!   Express sessionとは Expressとは、Node.jsのフレームワークの一つです。 sessionとは、サーバー側でクライアントの状態を管理する方法です。 サーバーとはシステムを動かしているインターネット上のコンピューターです。 クライアントとはサーバーにアクセスしているパソコンやスマホです。 セッションを利用することで、同一クライアントからサーバーに何回アクセスされたか等を簡単に管理することができます。   Express sessionの使い方 Expressでsessionをインストール インストールコマンド npm install --save express-session インストール解説 npm installでnpmを使用してexpress-sessionモジュールをインストールしています。 –saveオプションを使用することでインストール情報を保存することができます。 npmのインストール方法についての記事も合わせて参考にしてみてください。   田島悠介 express-sessionのインストール方法だよ。 大石ゆかり saveオブションはpackage.jsonに情報を残すものでしたね。 田島悠介 次は基本の構文と、実際の記述の例を確認してみようか。   session基本構文 基本構文 インスタンス名.use(session({ 設定項目: '値', })) 基本構文解説 インスタンス名で指定したオブジェクトに対してuseでセッションを使用することを宣言します。 sessionで処理としてはセッション処理を行うことを指定します。 2行目の設定項目: ‘値’,では、具体的にどのような処理を行うかを指定しています。 設定項目とその設定項目に設定する値をそれぞれ指定します。   [PR] PHPのプログラミングで挫折しない学習方法を動画で公開中Express sessionを使ってみよう Expressでsessionを利用する基本 ソースコード var app = express() app.set('trust proxy', 1) app.use(session({   secret: 'keyboard cat',   resave: false,   saveUninitialized: true,   cookie: { secure: true } })) 解説 1行目の、var app = express( )では、express関数を利用してappというインスタンスを作成しています。 2行目の、app.set(‘trust proxy’, 1) では、appに最初のプロキシを信頼するという設定を行っています。 プロキシとはサーバーの一種です。 プロキシを利用する事で、インターネットのファイヤーウォールで制限された環境下でも、制限無くインターネットアクセスが可能になる等のメリットがあります。 3行目の、app.use(session({では、セッションを利用することを宣言しています。 4行目の、secret: ‘block chain’,では、block chain をキーとしてクッキーを暗号化する設定をしています。 クッキーとはクライアント側に保存される管理用の変数のようなものです。 変数とは値を入れる箱のようなものです。 5行目の、resave: false,では、セッションチェックを行うたびにセッションを作成するかどうかの指定です。falseにすることで、毎回セッションを作成しないように指定します。 6行目の、saveUninitialized: true,では、未初期化状態のセッションを保存するかどうかの指定です。保存する場合はtrueを指定します。 7行目の、cookie: { secure: true }では、Cookieの有効期限をミリ秒で設定します。指定なし、もしくはnullだとブラウザデフォルトの挙動(一般的にはブラウザを閉じたらCookie削除)になります。 8行目の、}))では、3行目の処理を終了しています。   今回は、express sessionについて解説しました。 実際の開発現場でインターネットアクセスが制限される場合などに、プロキシサーバーを利用したい場合に参考にしてみてください。   田島悠介 具体的な書き方の例を見てみたよ。 大石ゆかり クッキーの有効期限なども、ここで設定するんですね。 田島悠介 セッションやクッキーに関する機能は、ログイン画面を実装する際などに必要になるので覚えておこう。 大石ゆかり なるほど、Webアプリを作るときには必須になりそうですね。ありがとうございました!   また、オンラインのプログラミングスクールTechAcademyでは、Node.jsオンライン講座を開催しています。 Node.jsを使ってWebアプリケーションを開発することができます。 現役エンジニアがパーソナルメンターとして受講生に1人ずつつき、マンツーマンのメンタリングで学習をサポートし、最短4週間で習得することが可能です。 この記事を監修してくれた方 中本賢吾(なかもとけんご) アジマッチ有限会社 代表取締役社長 開発実績:PHPフレームワークを利用した会員制SNS・ネットショップ構築、AWSや専用サーバー下でLinuxを使用したセキュアな環境構築、人工知能を利用したシステム開発、店舗検索スマホアプリ開発など。 その他にも地域の職業プログラマー育成活動を行い、2018年には小学生がUnityで開発したオリジナルAndroidアプリをGooglePlayでリリース。ゲームで遊ぶより作ろうぜ!を合言葉に、小学生でも起業できる技術力を育成可能で有ることを証明し続けている。
Node.js

Laravelでsession(セッション)を扱う方法【初心者向け】

Laravelでsessionを扱う方法について解説します。 Webアプリケーションを開発する上で欠かせない知識になるので、使い方を理解しておきましょう。   なお本記事は、TechAcademyのPHP/Laravel講座の内容をもとに紹介しています。   田島悠介 今回は、Laravelに関する内容だね! 大石ゆかり どういう内容でしょうか? 田島悠介 Laravelでsessionを使う方法について詳しく説明していくね! 大石ゆかり お願いします!   sessionとは Webアプリケーションでは、リクエストをまたがったユーザーの識別やユーザー毎のデータの保存を行う必要が出てきます。 そのために、Laravelのようなフレームワークは、セッションという仕組みを提供しています。 セッションにはデータ(キーと値のペア)を保存できます。 Laravelは様々なバックエンドのセッションを提供しており、config/session.phpで設定できます。 デフォルトで設定されているfileセッションは、storage/framework/sessions/ディレクトリ内のファイルにセッションを保存します。実稼働環境ではdatabaseセッションやredisセッションなどの使用を考慮しますが、開発環境ではデフォルトのfileセッションで十分です。   Laravelでsessionを利用する方法 Laravelでセッションを操作するには、主に2つの方法があります。使い方は似ています。 一つはアクションに渡されるRequestインスタンスを経由する方法です。 Illuminate\Session\Storeインスタンスが使われます。 // 指定したデータをセッションから取得する // キーが存在していない場合に返すデフォルト値を第2引数に指定できる $value = $request->session()->get('key’); $value = $request->session()->get('key', 'default’); $value = $request->session()->get('key', function () { return 'default'; }); // セッション中の全データを取得する $data = $request->session()->all(); // 指定したデータがセッションに存在するかを調べる if ($request->session()->exists('key')) { // 存在する } if ($request->session()->has('key')) { // 存在しnullではない } // セッションへデータを保存する $request->session()->put('key', 'value'); $request->session()->put(['key1' => 'value1', 'key2' => ‘value2']); // 指定したデータをセッションから取得後、そのデータを削除する $value = $request->session()->pull('key', 'default’); // 指定したデータをセッションから削除する $request->session()->forget('key'); // セッションから全データを削除する $request->session()->flush(); もう一つはグローバルなヘルパ関数session( )を使用する方法です。 Illuminate\Session\SessionManagerインスタンスが使われます。 // 指定したデータをセッションから取得する // キーが存在していない場合に返すデフォルト値を第2引数に指定できる $value = session('key’); $value =
PHP

PHPのスーパーグローバル変数を使う方法【初心者向け】

PHPのスーパーグローバル変数の使い方について解説します。 グローバル変数とローカル変数の違いについても理解しておきましょう。   なお本記事は、TechAcademyのPHP/Laravel講座の内容をもとに紹介しています。   田島悠介 今回は、PHPに関する内容だね! 大石ゆかり どういう内容でしょうか? 田島悠介 PHPのスーパーグローバル変数の使い方について詳しく説明していくね! 大石ゆかり お願いします!   スーパーグローバル変数とは PHPの変数はグローバル変数(大域変数)とローカル変数(局所変数)に大別されます。 ざっくりした違いは、ローカル変数は関数の中で定義し、関数の中だけで使える変数になります。関数からリターンすると使っていたローカル変数はメモリー領域開放されて、別の変数を保存できるようになります。 対してグローバル変数は、関数の外で定義します。定義するとプログラムが終了するまでメモリーの解放せず、どこでも参照・変更が可能になります。 ただし、PHPの関数内でグローバル変数を使う場合、global キーワードで使うことを宣言する必要があります。この宣言が無くても利用できる変数のことをスーパーグローバル変数と呼びます。 スーパーグローバル変数はPHPで定義済み変数となっていて、ユーザーが任意に追加することは出来ません。 主にWebサーバーから受け取った値が格納されています。   スーパーグローバル変数の種類と書き方 PHPには現在下記の9種類のスーパーグローバル変数が存在します $GLOBALS、$_SERVER、$_GET、$_POST、$_FILES、$_COOKIE、$_SESSION、$_REQUEST、$_ENV これらは連想配列になっていますので、他の配列と同様に利用することが出来ます。 例えば https://server.com/user.php?id=123 のURLへアクセスすると$_GETを使って$_GET[‘id’]を調べれば、 ‘123’を受け取ることが出来ます。 各変数の詳細については公式サイトの方で確認してください。 php.net-superglobals   [PR] PHPのプログラミングで挫折しない学習方法を動画で公開中実際に書いてみよう ソースコード <?php session_start(); if (isset($_REQUEST['clear'])) { session_destroy(); header('Location: '.$_SERVER['DOCUMENT_URI'], true, 301); } if (isset($_REQUEST['name'])) { $list = $_SESSION['list'] ?? []; $list[] = $_REQUEST['name']; $_SESSION['list'] = $list; } $_SESSION['count'] = intval($_SESSION['count'] ?? 0)+1; ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="UTF-8">
PHP

PHPでCookieを使う方法【初心者向け】

プログラミング初心者向けに、PHPの基礎を紹介する記事です。 今回は、PHPでCookie(クッキー)を使う方法を初心者向けの解説します。   なお本記事は、TechAcademyのPHPオンライン講座の内容をもとにしています。 また、開発環境はXAMPPを使っています。 そもそもPHPが何か分からない場合は、先にPHPとはの記事をご覧ください。   今回の記事の内容は動画でもご覧いただけます。 テキストよりも動画の方が理解しやすいという場合はぜひご覧ください。(動画は3つに分かれています)   Cookieとは Cookie(クッキー)とは、コンピュータのブラウザ側に一時的にデータを保存するための仕組みのことです。   たとえば、よく訪問するWebサイトにログインするときにIDやパスワードが履歴として出てきたり、ネットショッピングでショッピングカートに入れたものが一定の期間だけ保存されていたりしますよね。これは、Cookieが働いているためです。   CookieはPHPで設定することができます。次のように、シンプルに setcookie という関数を使い、(  )内にそのクッキーの名前・データ・有効期限を入れて書くことができます。   大石ゆかり クッキーは、アクセスしてくれた人にデータを送ることが出来るんですか? 田島悠介 そうなんだ。ブラウザにはクッキーを保存する小さいメモ帳みたいなのが搭載されてるんだ。 大石ゆかり ブラウザに保存したデータは、どう使うんですか? 田島悠介 アフィリエイトIDとか、ログインした会員や管理人しか入れないページにも使われてるんだよ。実際に書いてみよう!   実際に書いてみましょう。 <?php setcookie(‘username’,’yamada’,time()+60*60*24*7); echo $_COOKIE[‘username’]; ?> ※ time の +60*60*24*7 は、有効期限が1週間だということをあらわしています。   今回は echo で Cookie の名前を出力してみたので、Cookie で裏側に保存されていたデータを取り出すことができました。   このように、Cookieは裏側で保存して使いまわすことができますが、Cookieのデータを消したい場合もありますよね。 削除したい場合は、有効期限のところを time()-1 にしてあげます。 <?php setcookie(‘username’,’yamada’,time()-1); echo $_COOKIE[‘username’]; ?>   更新してみましょう。 すると、Cookieが見つからないというエラーになります。   おわりに 今回の記事は以上です。 ECサイトなど、いろいろなシステムを構築していくときに使っていきますので覚えておいてくださいね。 Cookieについて理解したら、PHPでセッションを使う方法も合わせてご覧ください。   大石ゆかり スーパーグローバル変数の$_COOKIEで、セットしたクッキーの名前を指定すると、値が取り出せるんですねー。 田島悠介 ブラウザにセットしたクッキーって、同じサーバーにアクセスすると送り返してくるんだ。$_COOKIEは、それを取得しているんだよ。 大石ゆかり こちらがPHPでデータをセットする。そして、セットされたデータは、同じサーバーの場合、送り返すようになってるんですか? 田島悠介 そうなんだ。よりくわしく知りたい場合は、セッションの項目も見てほしいな。   また、PHPを勉強していて、 もっと効率的に勉強したい 誰かに聞きながら学びたい 自分でWebサービスを作りたい と思ったことはないでしょうか? そんな方のために、TechAcademyではオンラインブートキャンプPHP/Laravelコースを提供しています。 現役エンジニアがパーソナルメンターとして受講生に1人ずつつき、マンツーマンのメンタリングで学習をサポートし、最短4週間でオリジナルWebサービスを開発することが可能です。 独学に限界を感じている場合はご検討ください。
PHP

サイトを安全に!PHPでcsrf対策を行う方法【初心者向け】

PHPでcsrf対策を行う方法について解説します。 csrfは、Webアプリケーションの脆弱性・またそれを利用した悪意のある攻撃のことですが、サイトの知名度があればあるほど攻撃されることも多々あります。 セキュリティを維持するためにも知っておきたい知識です。   なお本記事は、TechAcademyのPHP/Laravel講座の内容をもとに紹介しています。   田島悠介 今回は、PHPに関する内容だね! 大石ゆかり どういう内容でしょうか? 田島悠介 PHPでcsrf対策を行う方法について詳しく説明していくね! 大石ゆかり お願いします!   csrfとは CSRF(クロスサイトリクエストフォージェリ)とは、Webアプリケーションの脆弱性・またそれを利用した悪意のある攻撃を指します。 どんな攻撃か具体例を出してみますね。 仮にhoge.comというサイトにログインしている状態で、下記のリクエストを行うと指定したsend_user_idに指定したpointを送れるとします。 リクエスト先: http://hoge.com/send_point.php メソッド: POST パラメータ: send_user_id ・・・ ポイントを送付するユーザID point ・・・ 送付するポイント数 悪意のある攻撃者が用意したページで下記のフォームがあるとします。 もし、hoge.comにログインしている状態のユーザが下記のボタンを押してしまうと、攻撃者に自分のポイントを送付してしまいます。 もちろん、hoge.comサイトがCSRF対策を行っている場合は、下記のボタンを押しても不正なリクエストとして攻撃を防げます。 <form method="POST" action="http://hoge.com/send_point.php"> <input type="hidden" name="send_user_id" value="攻撃者のユーザID"> <input type="hidden" name="point" value="1000"> <input type="submit" value="押してね♪"> </form>   csrf対策のための書き方 現在推奨されている対策としてはワンタイムトークンを利用する方法になります。 Laravelなどの有名なフレームワークもCSRF対策にはワンタイムトークンを採用しているため、これを抑えておくだけで問題はないと思います。 ワンタイムトークンの実装方法は、まず投稿フォームのページを表示する前にランダムな文字列(トークン)を生成し、ユーザーのセッションに保存します。 そして、下記のようにフォームに生成したトークンをhiddenで埋め込みます。 リクエスト先では、セッションに保存したトークンと送信されたトークンが一致するか確認を行い、一致しない場合は不正なリクエストとして扱います。 これで攻撃者は生成されるトークンの値を知りうることができないため、CSRF攻撃ができなくなります。 フォームを表示する前の処理 // ランダムな文字列を生成してセッションに設定 $csrf_token = ランダムな文字列; $_SESSION['csrf_token'] = $csrf_token;   フォーム <form method="POST" action="http://hoge.com/send_point.php"> <input type="hidden" name="csrf_token" value="<?=$csrf_token?>"> <input
PHP

WEEKLY RANKING

TechAcademy(テックアカデミー) プログラミングPHPPHPでセッションを使う方法【初心者向け】