会社のブログに寄稿させていただきました。 PHPのセッション情報をデータベース(MySQL)に保存するぜ! こちらの記事ではセッション情報をDBサーバーに保存させて、ロードバランサーで接続するサーバーが切り替わってもセッションが維持される方法について記載しましたが、セッションハイジャックについては言及しておりません。ということで今回はセッションハイジャックを防ぐ方法について紹介します。 セッションハイジャックとはなにか そもそもセッションハイジャックとはなにか。cookieでセッション管理を行うPHPの場合はcookieにセッションIDを保存します。このセッションIDを他のユーザーのものに書き換えてなりすましてしまうのがセッションハイジャックです。cookie情報なんてのはブラウザで簡単に書き換えられてしまいますからね。 セッションハイジャックにおける対策としては大まかに分けて2つの対策、