クロスサイトスクリプティング等により盗み出したセッションIDを利用し、他のユーザーに成りすまして重要なデータを参照したり、改ざんしたりすること。


■対策

• php.ini の session.use_only_cookies を "1" にする。
• php.ini の session.use_trans_sid を Off にする。

これらにより、セッションIDをクッキーからのみ受け付け、URLにセッションIDが表示されてしまうことを防ぐ。

■注意

（１）セッションIDを出力する場合は、htmlspecialchars() でエスケープする。

（２）会員サイトなどでは、ログインするタイミングでセッションIDを変更すると良い。

session_start();
if ( ! isset( $_SESSION['initiated'] ) ) {
    session_regenerate_id();
    $_SESSION['initiated'] = true;
}

■メモ



○参考

• PHP と Web アプリケーションのセキュリティについてのメモ