セッションハイジャック　

　

同一人物のひとつながりのアクセスであるというのを
セッションというので持っている

　

PHP側で、セッションを開始すると、
セッションのID番号というのがユーザーに付与されて、
ログアウトするまでページを遷移してもずっと同じものが引き継がれる。

なので、買い物ページを移動しても
別人のカートじゃなく自分のカートに何があるかとかが分かる

このidをどうにかすると、商品の送り先を別の住所にしたりとかできるらしい

　

次のページに同じ人のお買い物であるとわかるのが大事だが

セッションを取得したときにidを見せてはいけない

　

むかしはurlにくっつけてたがそれはまずい

後日でもそれを打ち込んで、送り先だけかえて買い物しまくるとかが出来てしまうらしい

　

'サーバー側のクッキー'が'セッション'みたいな。

　

セッションのIDだけをユーザのクッキーに残す。だから数字だけらしい

ファイル名だけで中身は空らしい

　

サーバー側のクッキーはお買い物が終われば消えるとは限らない

1週間生きてるかも1か月かも。これはサーバによりけり

　

windowsのtempファイルのなかにいっぱいあるあれとは違うらしい

　

対策としては、

・ログアウトしたらユーザ/サーバ側のクッキーも消しておく

・毎回セッションIDを変える