じゃあログインしてない時にログイン促すのをつくりましょう
if文の特殊な書き方、
elseも書けるが、その場合:else:とは書かない。
ただ<?php else: ?>と記述する。
ログアウトは容易じゃないらしい
処理を丁寧に書いた方がいいらしい
セッションハイジャックというアタックがある
月曜にログアウトはやりましょう
sessionとはいわばサーバ側のクッキー
きわめて個人的な内容のクッキーはユーザ端末側におかないようにして、
サーバにおいてのぞけないようにしましょうと。
じゃあ、Aさんのクッキーがどれかということになる。
→session idというのを自動的にふられてる。
Chromeでは検証→network,cookiesででてくる、
PHPSESSIDというのがこのこと。
これをお互い持ち合う(クライアントとサーバと)
SESSION IDはランダムにつくられる
わるいひとがこのIDを推測して、セッションを再開してすきにしようというのが
セッションハイジャック
次にセッションを開始したときには新しいIDがわりふられる、が。
「検証ツールだしてから」indexを表示して再ログインしてみましょう
→さっきと違う値だ
ブラウザを終了したのと同じくらい、痕跡をのこさないようにログアウトしないといけない。
認証ボタンを押した瞬間にサーバ側にリクエストをだしてこの値をかえるとかもするらしい。
わりと高度な攻撃であり、防御も高度になる
