TechAcademy(テックアカデミー) プログラミング PHP PHPでセッションハイジャック対策を行う方法を現役エンジニアが解説【初心者向け】
オーダーメイドコース
icon
icon
PHP

PHPでセッションハイジャック対策を行う方法を現役エンジニアが解説【初心者向け】

初心者向けにPHPでセッションハイジャック対策を行う方法を現役エンジニアが解説しています。セッションハイジャックとは、何らかの方法でセッションが乗っ取られることです。定期的にsession_regenerate_id関数でセッションIDを変える方法を解説します。

テックアカデミーマガジンは受講者数No.1のプログラミングスクール「テックアカデミー」が運営。初心者向けにプロが解説した記事を公開中。現役エンジニアの方はこちらをご覧ください。 ※ アンケートモニター提供元:GMOリサーチ株式会社 調査期間:2021年8月12日~8月16日  調査対象:2020年8月以降にプログラミングスクールを受講した18~80歳の男女1,000名  調査手法:インターネット調査

今回は、PHPでファイルの存在を確認する関数の使い方について解説します。

 

そもそもPHPについてよく分からないという方は、PHPとは何なのか解説した記事を読むとさらに理解が深まります。

 

なお本記事は、TechAcademyのオンラインブートキャンプPHP/Laravel講座の内容をもとに紹介しています。

 

田島悠介

今回は、PHPに関する内容だね!

大石ゆかり

どういう内容でしょうか?

田島悠介

PHPでファイルの存在を確認する関数の使い方について詳しく説明していくね!

大石ゆかり

お願いします!

 

セッションハイジャックとは

セッションハイジャックとは、何らかの方法でセッションが乗っ取られることを指します。セッションが乗っ取られることにより、ユーザの権限を使われて不正な操作をされたり、ユーザの個人情報・重要情報が盗まれる場合があります。つまり、「なりすまし」による不正アクセスが可能になります。

ユーザはHTTPアクセス(WEBサイトを観覧したりするときの通信)によって、様々なサイトに接続します。その時、ログインをして個人に紐付いた情報を取得するときなどに、HTTPセッションというものを利用します。

通常のHTTPアクセスは状態を保持しない接続(ステートレス)ですので、このHTTPセッションを使うことで、状態を保持した接続ができるようになります。

HTTPセッションのやり取りは、セッションIDというものを使って、個人を識別します。このセッションIDが奪取されると、別のユーザがHTTPアクセスにそのセッションIDを送ることで、元のセッションIDの持ち主として接続が成立します。そのため、元のセッションIDの持ち主になりすますことが可能になります。

セッションハイジャック対策の方法

セッションハイジャックの対策には、セッションIDを奪われないようにすることが必要になります。セッションIDを奪う方法もいくつかあり、それに合わせて対策を行うのが効果的です。それでは、セッションIDを奪う方法とその対策をご紹介します。

 

セッションIDを推測される

セッションIDが単純なロジック(日付やユーザIDなど)で作成されている場合、通常の接続での自分のセッションIDから、他のセッションIDを推測することができます。そのため、総当たりでセッションIDを奪取されます。

対策としては、セッションIDを生成する際に、ユーザや日付などの特定の情報に関連しないIDを生成する、ID生成のロジックに適切な乱数生成アルゴリズムを使う、などがあげられます。

 

不正アクセスにより、セッションIDを奪取する

ユーザの接続に対して、何らかの方法で不正アクセスを行い、直接セッションIDを盗み取ります。例えば、クロスサイトスクリプティングのように、不正なサイトに誘導され、セッションIDを不正表示させるなどにより、取得されます。

対策としては、通信路の暗号化(SSL)や、エスケープ処理などのサニタイズを行うことなどがあります。

 

セッションIDが固定化される

セッションフィクセーション攻撃とも呼ばれている方法です。これは、攻撃者が特定のセッションIDを指定したURLをユーザに接続させることにより、セッションIDをその値に設定します。

これにより、攻撃者が意のままにセッションIDを設定し、そのセッションIDでユーザが接続した後に、設定したセッションIDでユーザに成り代わります。

対策としては、URLなどでセッションIDを設定できないようにすることが必要になります。

 

[PR] PHPを学んで未経験からWebエンジニアを目指す方法とは

実際に書いてみよう

それでは、実際にセッションハイジャックの対策を実装してみましょう。同じユーザの接続であっても、毎回違うセッションIDを用いてセッションを保持する方法があります。

これにより、取得されたセッションIDが、次の接続では別のセッションIDになるため、セッションIDが推測されにくくなります。

<?php
session_start();
session_regenerate_id(true);
if ( $_POST['my_name'] ) {
 $_SESSION['my_name'] = $_POST['my_name'];
}
if ( $_SESSION['my_name'] ) { ?>
ようこそ<?php echo htmlspecialchars($_SESSION['my_name']); ?>さん<br>
<?php } else { ?>
<form action="" method="post">
  <dl>
    <dt>名前</dt>
    <dd><input type="text" name="my_name" id="my_name" /></dd>
  </dl>
  <input type="submit" value="送信する" />
</form>
<?php } ?>

このように、

session_regenerate_id(true);

という関数を実行することで、同じセッションでも接続するごとに別のセッションIDが生成され使われるようになります。実際に送信されるセッションIDについては、GoogleChromeの開発者ツールなどで確認することができます。

 

筆者プロフィール

メンターYさん

フリーランスエンジニアとして、PHPを中心としたWEB開発全般を行う。最近では、WordPressを使ったメディアの構築・運用を多くこなしている。

元々は大手通信会社のエンジニアで、セキュリティに関する仕事をするも、大企業が肌に合わず独立。一箇所に縛られての仕事を苦手とし、自宅とカフェとコワーキングスペースを行ったり来たりしている。

ただ、自宅にいるとどうしてもゲームをしてしまうため、コワーキングスペースの比率が大きい。

 

大石ゆかり

内容分かりやすくて良かったです!

田島悠介

ゆかりちゃんも分からないことがあったら質問してね!

大石ゆかり

分かりました。ありがとうございます!

 

TechAcademyでは、初心者でもPHPやフレームワークのLaravelを使ってWebアプリケーション開発を習得できるオンラインブートキャンプPHP/Laravel講座を開催しています。

挫折しない学習方法を知れる説明動画や、現役エンジニアとのビデオ通話とチャットサポート、学習用カリキュラムを体験できる無料体験も実施しているので、ぜひ参加してみてください。

記事を検索

関連するキーワード

関連する記事

PHPのeval関数の使い方を現役エンジニアが解説【初心者向け】

今回は、PHPのeval関数の使い方について、TechAcademyのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。 PHPに...
PHP

PHPでimplodeを使う方法【初心者向け】

PHPでimplodeを使う方法について解説します。   そもそもPHPについてよく分からないという方は、PHPとは何なのか解説した記事を...
PHP

PHPで拡張モジュールファイルを確認する方法【初心者向け】

PHPで拡張モジュールファイルを確認する方法について解説します。 モジュールファイルとは何なのかも解説しているので、初心者の方もぜひチェックしておくと良い...
PHP

PHPで配列の要素を削除する方法を現役エンジニアが解説【初心者向け】

今回は、PHPで配列の要素を削除する方法について、TechAcademyのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。 &n...
PHP

PHPでNULL判定を行う方法を現役エンジニアが解説【初心者向け】

今回は、PHPでNULL判定を行う方法について、テックアカデミーのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。 PHPでNU...
PHP

PHPで配列に要素を追加する方法を現役エンジニアが解説【初心者向け】

今回は、PHPで配列に要素を追加する方法について、TechAcademyのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。 P...
PHP

あわせてよく読まれている記事

PHPでセッションを使う方法【初心者向け】

プログラミング初心者向けに、PHPの基礎を紹介する記事です。 今回は、PHPでセッションを使う方法について、テックアカデミーのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。 PHPでセッションを使うことで、一度利用したことがあるデータを再利用できます。 実務でも、PHPでセッションを利用してログインフォームを使いやすくするため、ぜひ学習してみてください。 また、開発環境はXAMPPを使っています。   目次セッションハイジャックとはセッションハイジャック対策の方法実際に書いてみよう筆者プロフィール   そもそもPHPについてよく分からないという方は、PHPとは何なのか解説した記事を読むとさらに理解が深まります。   今回の記事の内容は動画でもご覧いただけます。 テキストよりも動画の方が理解しやすいという場合は、次の3種類の動画を覧ください。   セッションとは セッションとは、コンピュータのサーバ側に一時的にデータを保存する仕組みのことです。 サーバに保存されたセッションIDと、ブラウザに保存されたPHPSESSIDが一致するかどうかで、セッションデータを利用します。 たとえば、Web上でのログイン情報など、ユーザーに直接ひもづくようなデータをセッションに保存し、再利用が可能です。 セッションに保存したデータを利用して次回ログインページを開いたときも、再度ログインすることなくログイン状態にしておくことが可能です。 セッションは、Cookie(クッキー)の仕組みととても似ていますが、Cookieはブラウザ側、セッションはサーバ側と、保存場所が異なります。 Cookieはブラウザ側に保存され、セッションはサーバ側に保存されます。 サーバ側に保存されるため、セッションのほうがよりセキュリティ的に安全だと言われています。   大石ゆかり セッションというの何でしょうか?Cookieとは違うんですか? 田島悠介 簡単にすると、Cookie+サーバ側にもファイルを作成するっていうのがセッションかな。 大石ゆかり Cookieって相手のブラウザのメモ帳にデータを記録しておくことですよね。サーバ側にも書いておくんですか? 田島悠介 セッションの場合は、相手には同じになりにくい一意の数値(ハッシュ値)だけを渡しておくんだ。そして、サーバ側では、その数値名でファイルを作成するんだよ。とりあえず、使い方などを見てみよう!   セッション関数と変数 ここではセッション関数とセッション変数を一覧で紹介します。 関数 用途 session_start() セッション処理開始 session_id() セッションID確認 session_name() セッション名確認 session_regenerate_id() セッションID再発行 session_unset() セッション変数削除 session_destroy() セッションデータ削除 $_SESSION[変数名] グローバルセッション変数   [PR] PHPを学んで未経験からWebエンジニアを目指す方法とはセッションの使い方 ここではセッションの使い方を紹介します。   session_start() セッションは、 session_start関数 を使って開始し保存が可能です。 session_start()処理は、PHPファイルの先頭に記載する必要があります。 <php session_start() session_id() 次のコードでセッションIDを確認できます。 echo session_id(); session_name() 次のコードでセッション名を確認できます。 echo session_name(); session_regenerate_id() 次のコードでセッションIDを再発行できます。 session_regenerate_id(); session_unset() 次のコードでセッション変数を削除できます。 session_unset(); session_destroy() 次のコードでセッションデータを削除できます。 session_destroy(); $_SESSION[変数名] 次のコードで、スーパーグローバル変数であるセッション変数を利用できます。 スーパーグローバル変数とは、PHPプログラム内であればどこからでも呼び出せる変数です。 $_SESSION[変数名]='代入する値'   セッションデータを保存してみよう ここでは、セッションデータを保存してみましょう。   サンプルコード <?php session_start(); $_SESSION["username"] = "yamada"; 実行結果 解説 <?phpでは、PHPを開始しています。 session_start();では、セッション処理を開始しています。 $_SESSION[“username”] = “yamada”;では、グローバル変数であるセッション変数に、usernameを指定して、yamadaというデータを代入しています。 ブラウザ側ではなにも表示されませんが、サーバ側ではセッションに yamada というデータが保存さています。   セッションデータを取得してみよう ここでは、セッションデータを取得してみましょう。 サンプルコード <php session_start(); $_SESSION["username"] = "yamada"; echo $_SESSION["username"]; 実行結果 解説 <?phpでは、PHPを開始しています。 session_start();では、セッション処理を開始しています。 $_SESSION[“username”] = “yamada”;では、グローバル変数であるセッション変数に、usernameを指定して、yamadaというデータを代入しています。 echo $_SESSION[“username”];では、セッションデータを表示しています。 セッションはサーバ側に保存されているため、たとえ違うWebページにまたがっても、同じセッションを取り出すことができます。   セッションを削除してみよう ここでは、セッションを削除してみましょう。   サンプルコード <?php session_start(); $_SESSION[‘username’] = ”yamada”; unset($_SESSION[‘username’] ); echo $_SESSION[‘username’] ; 実行結果 解説 <?phpでは、PHPを開始しています。 session_start();では、セッション処理を開始しています。 $_SESSION[“username”] = “yamada”;では、グローバル変数であるセッション変数に、usernameを指定して、yamadaというデータを代入しています。 unset($_SESSION[‘username’] );では、セッション変数を削除しています。 echo $_SESSION[‘username’] ;では、セッション変数を表示しようとしています。 しかし、直前でセッション変数を削除したため、セッション変数であるusernameはないと表示されます。 このようにセッションでは、セッションに名前をつけて、変数のように値を入れて使い回すというようなことができます。   おわりに セッションを利用することで、データをサーバ側に保存することができました。 サーバ側で保存したセッションIDと、ブラウザ側のPHPSESSIDが一致することでセッションデータを利用できました。 PHPをさらに勉強したい場合は、PHPでCookieを使う方法 もあわせてご覧ください。   大石ゆかり session_start関数が呼ばれて、その後に$_SESSIONっていうスーパーグローバル変数が使えるようになるんですね。 田島悠介 セッションがスタートされると、相手側に同じになりにくい番号が送られて、サーバ側にもその名前でファイルが作成されるんだ。XAMPPだとhtdocsフォルダと同じ階層のtmpフォルダに作成されてるよ。 大石ゆかり $_SESSIONに何か書き込んだ場合っていうのは、そのファイルに書き込んだってことなんですか? 田島悠介 そうそう。tmpフォルダに、相手に送ったCookieと同じ数値っぽい名前のファイルが作成されていて、$_SESSIONに書いたものは全部このファイルに書かれるんだよ。相手に送るCookieは、セッションの場合は、常に数値だけなんだ。番号札って考えるとわかりやすいかも。   PHPを学習中の方へ これで解説は終了です、お疲れさまでした。 つまずかず「効率的に」学びたい 副業や転職後の「現場で使える」知識やスキルを身につけたい プログラミングを学習していて、このように思ったことはありませんか? テックアカデミーのPHP/Laravelコースでは、第一線で活躍する「プロのエンジニア」が教えているので、効率的に実践的なスキルを完全オンラインでしっかり習得できます。 合格率10%の選考を通過した、選ばれたエンジニアの手厚いサポートを受けながら、PHP/Laravelを使ったWebアプリケーション開発を学べます。 まずは一度、無料体験で学習の悩みや今後のキャリアについて話してみて、「現役エンジニアから教わること」を実感してみてください。 時間がない方、深く知ってから体験してみたい方は、今スグ見られる説明動画から先に視聴することをおすすめします!
PHP

MySQLでサーバに接続する方法【初心者向け】

データベースはコマンドを打つことで操作していきますが、そのやり方などを実際にやりながら覚えていくのが近道です。 MySQLでサーバに接続することで、MySQLのデータをプログラムで利用できます。 実務でも、MySQLでサーバに接続して、Webサービスの開発を行いますので、ぜひ学習してみてください。 本記事では初心者向けに、MySQLでサーバに接続する方法について、テックアカデミーのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。 目次セッションハイジャックとはセッションハイジャック対策の方法実際に書いてみよう筆者プロフィール そもそもPHPについてよく分からないという方は、PHPとは何なのか解説した記事を読むとさらに理解が深まります。   今回の記事の内容は動画でもご覧いただけます。 テキストよりも動画の方が理解しやすいという場合はぜひご覧ください。   MySQLでサーバに接続する方法 今回は、Macでターミナルを使い進めていきます。 Windowsの方はコマンドプロンプトを使っておこなってください。 今さら聞けない!コマンドプロンプトの使い方も参考にしてみてください。   ターミナルのコマンド例 Macでフォルダの中身を出力する ls   Macでlsと実行すると、フォルダの中にあるファイルやフォルダの一覧が表示されます。   Windowsでフォルダの中身を出力する dir Windowsでdir実行すると、フォルダの中にあるファイルやフォルダの一覧が表示されます。   フォルダ名へ移動する フォルダ名へ移動する cd フォルダ名 MacもWindowsも、cd フォルダ名というコマンドで、フォルダ名のフォルダに移動できます。   例えば、 XAMPP の bin というフォルダに移動したい場合は次のように実行します。 cd /Applications/XAMPP/bin   Macであれば、ls を入力するとbin の中身が表示されます。   大石ゆかり 接続するって、自分のPCの中にあるMySQLにですか? 田島悠介 MySQLってサーバソフトなんだよね。ポート番号で待ち受けていて、外から接続することができるんだ。今回はコマンドプロンプトからなので、MySQLの本体があるフォルダに移動してログインするんだよ。 大石ゆかり ユーザーIDとパスワードでログイン、という感じでしょうか? 田島悠介 そうそう。では、実際にログインしてみよう!   MySQLにログインする MySOLにログインすることで、データベースの操作が可能になります。   MySQLにログインするコマンド コマンドプロンプトを起動後、次のコマンドを打ちMySQLにログインします。 mysql -u ユーザー名   次のように表示されればMySQLに接続したことを意味します。 mysql>   [PR] PHPを学んで未経験からWebエンジニアを目指す方法とはPHPでMySQLに接続する ここでは、PHPでMySQLに接続する解説をします。 サンプルコード $host = 'ホスト名'; $username = 'ユーザー名'; $password = 'パスワード名'; $db_name = 'データベース名'; mysqli_connect($host, $username, $password, $db_name); 解説 ホスト名、ユーザー名、パスワード名、データベース名を設定することで接続設定が完了します。   LaravelでMySQLに接続する ここでは、LaravelでMySQLに接続する解説をします。 .envファイルの設定 Laravelプロジェクト直下にある.envファイルの中の次の箇所を設定します。 設定内容には、データベース名とユーザー名とパスワードにそれぞれあらかじめ用意した内容を設定します。   php artisan migrateの実行 php artisan migrateコマンドをターミナル(コマンドプロンプト)で実行することで、LaravelからMySQLへの接続情報が反映されます。   php artisan tinkerの実行 php artisan tinkerコマンドをターミナル(コマンドプロンプト)で実行することで、LaravelからMySQLの操作が可能になります。   以上が、Laravelを利用したMySQLへの接続操作です。   RubyでMySQLに接続する ここでは、RubyでMySQLに接続する解説をします。 mysql2の環境構築 現在利用されているサーバOSはUbuntuのシェアが高いです。 UbuntuはLinuxというサーバの一種です。 UbuntuでRubyからMySQLに接続する方法として、 mysql2 というGemをインストールするのが一般的です。 Gemというのは、RubyGemsという名称の略語です。 RubyGemsは、Rubyで用意されたパッケージ管理システムです。 Ubuntuで、mysql2をインストールするコマンドは次のとおりです。 sudo apt install libmysqlclient-dev -y gem install mysql2   app.rbへの記載例 app.rbのコード require 'sinatra' require 'mysql2' get '/' do client = Mysql2::Client.new(host: 'ホスト名', username: 'ユーザー名', password: 'パスワード名', database: 'データベース名',
MySQL

【作業が圧倒的に早くなる!】知っておきたいExcel(エクセル)の関数10選

数字に弱い方は、「Excel(エクセル)関数」というワードを聞くと、「『関数』って、学生時代に数学で習ったあの『関数』? もう関わりたくないなぁ…」と考えてしまいますよね? しかし、「Excelの関数」は、それほど難しいものではありません。そこで今回は、使用頻度の高い Excel関数を10種類に厳選してお伝えします。 これさえ覚えてしまえば、無駄な計算時間や入力時間を省くことができ、作業時間が圧倒的に早くなること間違いないでしょう。     なお、今回の記事の内容を動画でも解説しています。 テキストよりも動画の方が理解しやすいという場合はぜひご覧ください。   目次 関数とは 合計を出したいとき【SUM関数】 条件に当てはまる数値の合計を出したいとき【SUMIF関数】 平均値を出したいとき【AVERAGE関数】 小計やオートフィルタを用いて集計したいとき【SUBTOTAL関数】 最大値を出したいとき【MAX関数】 最小値を出したいとき【MIN関数】 条件に当てはまるセルの数を数えたいとき【COUNTIF関数】 条件に当てはまるセルを表示させたいとき【VLOOKUP関数】 条件によって処理を変えたいとき【IF関数】 文字列を繋げたいとき【CONCATENATE関数】 覚えておきたいExcel関数まとめ   関数とは そもそも、「関数」とは、定型の計算を行うために使われる数式のことです。 Excel の場合、「=関数名(セル範囲や条件など)」の形をしているものが「関数」です。 関数名(セル範囲や条件など) 半角イコール(=)の後に、英字の関数名を入力し、その後の()で囲まれた部分(引数)には、計算に必要な数値やセル範囲、条件などを入力します。 この関数を使えば、あとは Excel が勝手にふさわしい数値を算出してくれます。   [PR] PHPを学んで未経験からWebエンジニアを目指す方法とは合計を出したいとき【SUM関数】 Excel をまだあまり使ったことがない方も、おそらく一度は目にしたことがあるのではないでしょうか? SUM関数は、指定した範囲内の数値の合計を求める関数です。 = の後に SUM と入力し、その後の引数部分には (範囲内の最初のセル:最後のセル) を入力します。 例えば、B2 から B5 までの数値の合計を B6 に入力したいときは、 =SUM(B2:B5) という数式を B6 に入力します。   条件に当てはまる数値の合計を出したいとき【SUMIF関数】 SUMIF関数は、範囲内で指定した条件を満たす数値の合計を求める関数です。 = の後に SUMIF と入力し、その後の引数部分には (検索条件範囲内の最初のセル:最後のセル,検索条件のセル,合計範囲内の最初のセル:最後のセル) を入力します。 例えば、A2 から A9 までの中で、A12 の項目を検索し、C2 から C9 までの中で該当する数値の合計を、B12 に入力したいときは、 =SUMIF(A2:A9,A12,C2:C9) という数式を B12 に入力します。   平均値を出したいとき【AVERAGE関数】 AVERAGE関数は、指定した範囲内の数値の平均値を求める関数です。 = の後に AVERAGE と入力し、その後の引数部分には (範囲内の最初のセル:最後のセル) を入力します。 例えば、B2 から B5 までの数値の平均値を B6 に入力したいときは、 =AVERAGE(B2:B5) という数式を B6 に入力します。   小計やオートフィルタを用いて集計したいとき【SUBTOTAL関数】 SUBTOTAL関数は、指定した条件を満たすセルの数値を、指定した集計方法で集計し、その集計結果を求める関数です。 = の後に SUBTOTAL と入力し、その後の引数部分には (集計方法を表す数字,範囲内の最初のセル:最後のセル) を入力します。 例えば、C2 から C10 までの数値のを平均値を C12
Excel

PHPのsession_id関数でセッションIDを取得する方法を現役エンジニアが解説【初心者向け】

今回は、PHPのsession_id関数でセッションIDを取得する方法について、TechAcademyのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。   PHPについてそもそもよく分からないという方は、PHPとは何なのか解説した記事を読むとさらに理解が深まります。   なお本記事は、TechAcademyのオンラインブートキャンプ、PHP/Laravel講座の内容をもとに紹介しています。   田島悠介 今回は、PHPに関する内容だね! 大石ゆかり どういう内容でしょうか? 田島悠介 PHPのsession_id関数でセッションIDを取得する方法について詳しく説明していくね! 大石ゆかり お願いします!   この記事では、PHPでセッションIDを取得する方法について解説しています。 セッションの仕組みがよくわからないという方でも理解できる内容となっています。   目次 セッションIDとは session_id関数を利用したセッションIDの取得方法 session_id関数の注意点 実際に書いてみよう まとめ   セッションIDとは セッションIDとは、Webサービスを利用するユーザーを識別するためにアプリケーションやサーバーが払いだすIDのことです。 このセッションIDをユーザーに付与することによってアプリケーションやサーバーは、ユーザーを特定し、ユーザーがWebアプリケーションにアクセスしてからサービスを終了(ブラウザを閉じるなど)まで一貫したサービスを提供できます。 例えば、Webページを移動しても前のページの情報が表示されるのもこのセッションIDが存在することによって成り立っています。   [PR] PHPを学んで未経験からWebエンジニアを目指す方法とはsession_id関数を利用したセッションIDの取得方法 PHPでセッションIDを取得するためには、session_id関数を使用します。 それでは、session_id関数の使用方法を見ていきましょう。 session_id関数の使い方: session_id( [$セッションID] ) session_id関数は引数を渡さずに呼び出すと現在設定されているセッションIDを取得できます。 また、任意に引数に文字列のセッションIDを渡すことで、現在設定されているセッションIDを引数で渡したセッションIDで置換可能です。   session_id関数の注意点 session_id関数に引数としてセッションIDを渡して設定する場合、その後の処理として、session_start関数を呼び出す必要があります。 session_start関数は、呼び出すことで新しいセッションを作成したり、セッションを復帰する時に使用する関数です。 もし、session_id関数に今まで設定されていたセッションIDと同じセッションIDを渡して置換したとしても、その後にsession_start関数を呼び出す際にユーザーに新しいクッキーを送信しているという点に注意が必要です。   実際に書いてみよう それでは、実際にsession_id関数を使用して、セッションIDを取得する例を見ていきましょう。 サンプルコード: <?php session_start(); $session_id = session_id(); echo $session_id; ?> 実行結果: ips13t4bthm352do7njjioeass 上記の例では、まずsession_start関数を呼び出し、セッションを作成した後に、そのセッションのセッションIDを取得し、出力しています。 実行結果に表示されているのは、session_id関数を呼び出して取得した現在のセッションに設定されているセッションIDです。   まとめ 以上、session_id関数を使用して、セッションIDを取得する方法を解説しました。 Web開発を行う際は、セッションは重要な技術なので、まずはその仕組みから理解し上記で解説した関数を使用して、PHPでセッションを扱えるようになりましょう。   筆者プロフィール 平野大輝(ひらのだいき) スキル:PHP・Java・JavaScriptを用いて様々なアプリを開発するWebエンジニア。   大石ゆかり 内容分かりやすくて良かったです! 田島悠介 ゆかりちゃんも分からないことがあったら質問してね! 大石ゆかり 分かりました。ありがとうございます!   TechAcademyでは、初心者でも、PHPやフレームワークのLaravelを使ってWebアプリケーション開発を習得できる、オンラインブートキャンプを開催しています。 また、現役エンジニアから学べる無料体験も実施しているので、ぜひ参加してみてください。
PHP

データベースに接続!PHPでMySQLを扱う方法【初心者向け】

PHPでMySQLを扱う方法について、テックアカデミーのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。 開発作業をしていてプログラムを書くだけでなく、データベースを操作することも多々あります。 MySQLはデータベースの中でもトップクラスの認知度があり、使用する機会も多くあります。 使い方を覚えておけば様々なシーンで役立つでしょう。   目次セッションハイジャックとはセッションハイジャック対策の方法実際に書いてみよう筆者プロフィール   そもそもPHPについてよく分からないという方は、PHPとは何なのか解説した記事を読むとさらに理解が深まります。    データベースとは データベースとは、多くのデータを一元管理することができるデータ管理専門のソフトウェアです。 データベースのようなソフトウェアをミドルウェアとも言います。 ミドルウェアとは、表示処理などを行うWebアプリケーションとサーバ制御するOSとの間に存在するソフトウェアです。 ミドルウェアがなくてもシステムとして動作可能ですが、ミドルウェアがあることで大規模システム開発を効率的に行うことが可能です。   データベースのメリット データベースを利用するメリットは大きく3つあります。 安全にデータをバックアップできる データベースソフトウェアの機能を活用できる セキュリティを強化できる データベースをバックアップする データベースをミドルウェアとして利用することで、システム内の必要なコンテンツであるデータは、すべてデータベースの中に保存可能です。 データベースにコンテンツを保存できるということは、データベースさえバックアップしておけば、システムが破損してもコンテンツの復元が可能だということです。 データベースにデータを保存しておくとはつまり、決まった形式でデータを安全に保管できるということでもあります。   データベースソフトウェアの機能を活用できる データベースソフトウェアを利用することで、高速にデータを扱うことが可能になります。 データを扱う例としては、データの検索などがあります。 データ自体が膨大な量になった時に、データベースソフトウェアの検索速度が高速であれば、それだけで快適に動作します。   セキュリティに強くなる データベースソフトウェアを利用しない場合、データを安全に保管することが難しくなります。 例えば、データにアクセスする際にパスワードが設定されていなかったり、複数人で同時にアクセスすることでデータが破損することもあります。 データベースを利用することで、セキュリティに強くなるメリットがあります。   データベースのデメリット データベースソフトウェアを利用するということは、データベースに関する知識が必要になります。 もし、1ページのみのHTMLで構成される自己紹介ページなどであれば、データベースを利用せずHTML内にコンテンツとなるデータを記載したほうが、サイト公開も保守管理も簡単で良いでしょう。   データベースの種類 データベースの種類には大きく4つあります。 RDBMS NoSQL 階層型 ネットワーク型   RDBMS RDBMSとは、Relational DataBase Management Systemの略です。 日本語でいうと関係型データベースと言われることもあります。 エンジニアはRDBMSということが多いです。 データ構造自体は、表計算ソフトのExcelのような感じで管理されます。 データの整合性に強く、管理しやすいため、Webアプリケーション開発時にはRDBMSを利用することが多いです。 製品例:OracleDatabase、SQLserver、MySQL 、PostgreSQL   NoSQL NoSQLとは、大規模なデータを扱う際に利用します。 キーバリュー型、カラム指向型、ドキュメント指向型、グラフ型など、様々な種類があります。 データの整合性より、データ処理能力に焦点を当てたGoogle検索などのシステムで利用されます。 製品例:Hadoop、Google File System、Firebase(Cloud Firestore、RealtimeDatabase) 階層型 階層型データベースはアクセス速度が速いメリットがあります。 しかし、データの重複が発生するというデメリットがあります。 データの柔軟な取り扱いが難しく、高度な知識が必要なため、一般的に利用されることは少ないです。 ネットワーク型 ネットワーク型データベースは、データの重複を避けられるというメリットがあります。 データの柔軟な取り扱いが難しく、高度な知識が必要なため、一般的に利用されることは少ないです。   MySQLとは 中身のソースコードが公開されているリレーショナルデータベースで、オープンソース系としては世界的に最も多く使用されています。 表計算ソフトであるExcelなどのような感じで、データを表示してくれます。 ほとんどのレンタルサーバで使用でき、データを安全かつ高速に検索し、変更の一貫性を保つことができます。   大石ゆかり 田島メンター!MySQLって何でしょうか? 田島悠介 データを安全に、そして大量のデータも高速に検索できるソフトウェアなんだ。PHPから接続できるんだよ。 大石ゆかり PHPで接続して、データを取得したり、変更したりできるってことですか? 田島悠介 そうだね。まずはMySQLでできることを見てみよう!   [PR] PHPを学んで未経験からWebエンジニアを目指す方法とはMySQLでできること MySQLなどのリレーショナルデータベースでできることは、主に以下の通りです。   データの変更の一貫性を保つトランザクション 例えばあるブログで、新規記事を投稿し、その記事が属するカテゴリーの個数を1つ増やしたとします。 これらの処理は分離できない処理で、どちらか一方だけ実行されても困ってしまいます。 複数の処理を切り離せない処理として実行する、さもなくば複数の処理すべて失敗とみなして実行しない、ということができます。   インデックスによる高速な検索 コンピュータでもデータ数が多いと検索が遅くなってしまいます。 しかしインデックスを用いてデータを整理整頓しておくと、何千万件の中からでも一瞬で目的のデータを検索できます。 インデックスは、漫画・コミックなどでいえば巻数順に並べておくようなもので、並べておけば素早く手に取ることができます。   条件を指定してデータを検索 価格の高い順や低い順などを10件ずつ、といったようにデータに条件を指定して、柔軟に検索できます。   mysql_connectの書き方 mysql_connectはデータベースに接続するために使用します。 接続リソース mysql_connect("接続先サーバー","ユーザーネーム","パスワード");   MySQLが置いてあるサーバに対して接続します。 MySQLに設定されたユーザーネームとパスワードで接続します。 接続リソースが返ってきますが、その後にMySQLに操作を加える場合にこの接続リソースを使います。   mysql_create_dbの書き方 mysql_create_dbは、データベースを作成する際に使用します。 また、mysql_queryでも作成できます。 mysql_query("CREATE DATABASE データベース名 DEFAULT CHARACTER SET utf8"); mysql_create_db("データベース名");   mysql_queryの書き方 MySQLに接続すると、SQL文を発行できます。 その時にmysql_queryを使用します。 データ追加や検索、その他ヘッダ情報などを取得できます。 mysql_query("SQL文");   大石ゆかり インデックスやトランザクションって何かすごそうですね! 田島悠介 データが数億件あっても、一瞬で目的のデータを検索できるんだよ。 大石ゆかり それは、すごいですね!   実際に書いてみよう MySQLに接続してデータベースを作成し、データベースの一覧を表示させてみます。 XAMPPとMariaDBで実行していますが、MySQLと互換性が高いのでそのまま使用できます。   test.php <?php $link = mysql_connect("localhost","root",""); mysql_query("create database if not exists test2 default character set utf8"); $result = mysql_query("show databases"); while ($row = mysql_fetch_array($result, MYSQL_NUM)) { echo $row[0]; echo "<br>"; } ?>   実行結果 information_schema mysql performance_schema phpmyadmin test2 wordpress   show databasesというのはMySQL専用のクエリで、データベース一覧を表示させます。 mysql_fetch_arrayに結果リソースを渡し、数字配列を選択します。 1行ずつ出力すると、作成されているデータベース一覧が表示されます。 MySQLに接続し、クエリを発行し、結果を受け取るというのが基本操作です。   PHPとMySQLを使用しチャット投稿を表示させてみる それでは、PHPとMySQLを使用して、チャットサービスの投稿を表示させてみます。 チャットサービスとはTwitterやLINEなどのサービスです。   チャットサービス表示部分の実装 今回は、MySQLにchatデータベースとtitleテーブルが存在すると仮定して実装してみます。   テーブル情報 titleテーブルの中には、自動的に連番が追加されるnoカラム、ユーザー名を表すnameカラムと、投稿内容を表すpostカラムが入っています。   PHP処理の説明 それでは、それぞれの行について説明します。 MySQLへの接続情報 最初に変数dbに対して、MySQLに接続するための情報を格納しています。 今回は、mysqli_connectというPHPの関数を使用してMySQLに接続しています。 mysqli_connectの()内に記載されているパラメータは次のとおりです。 mysqli_connect( '接続ホスト名', '接続ユーザー名', '接続パスワード名', '接続データベース名' );   接続エラー処理 その後、次のif文処理でmysqliに接続できなかった場合にエラーを出力する処理をしています。 if ($db->connect_error) { echo $db->connect_error; exit (); }   titleテーブルデータ取得 次のsql変数に代入する処理で、titleテーブルに入っているデータをすべて取得しています。 $sql
PHP

PHPでsessionを破棄する方法を現役エンジニアが解説【初心者向け】

今回は、PHPでsessionを破棄する方法について解説します。   そもそもPHPについてよく分からないという方は、PHPとは何なのか解説した記事を読むとさらに理解が深まります。   なお本記事は、TechAcademyのオンラインブートキャンプPHP/Laravel講座の内容をもとに紹介しています。   田島悠介 今回は、PHPに関する内容だね! 大石ゆかり どういう内容でしょうか? 田島悠介 PHPでsessionを破棄する方法について詳しく説明していくね! 大石ゆかり お願いします!   sessionとは sessionとは、一連の処理という意味がありますが、ここでは、インターネットの世界で使われるHTTPセッションについて扱います。 HTTPとは、ウェブサイトを見るときに使われるhttp://~ のところにある、HTTPです。HTTPセッションとは、HTTPにおける一連の処理、ということになります。 たとえば、SNSでログインしたあとに、マイページで自分の情報を表示したり、自分の友人のタイムラインを見たりできるのは、HTTPセッションで一連の処理として扱っているからです。 ではなぜ、HTTPセッションが必要なのでしょうか? それは、HTTPというのが、ステートレスだからです。ステートレスとは、状態を保持しないということです。つまり、一回の接続ごとに、完全に独立したやり取りになるということです。 これは、一度サイトに接続し、もう一度同じサイトに接続しても、前に接続した状態を憶えていない(保持しない)ということになります。 そのため、ログインした後に別のページに接続すると、ログインしたことを憶えていないため、再びユーザIDとパスワードを入力する必要があります。 そうなると不便ですので、接続したユーザの状態を保持するために、HTTPセッションが使われます。   session変数を使ってみる HTTPセッションは、通常はサーバにセッションファイルとして保存されます。 まず、クライアントから送られてきたセッションIDから誰のセッションかを識別します。クライアントが特定できると、セッション変数というキーをもとにして、セッションの値を取り出せます。 PHPなどのプログラミング言語では、HTTPセッションを扱うための仕組みが用意されています。 PHPでは、「$_SESSION」という変数が定義されています。 この変数に配列のキーとしてセッション変数を渡すことで、セッションの値を取得します。   $_SESSION[セッション変数]   また、セッションを保存する際も、この値に代入し、セッションファイルに値を書き込みます。   $_SESSION[セッション変数] = 保存したい値   [PR] PHPを学んで未経験からWebエンジニアを目指す方法とはsessionを破棄する セッションファイルは、通常ブラウザを閉じると削除され、セッションは破棄されます。 ただ、プログラムで明示的にセッションを破棄することもできます。 PHPでは、下記のように、$_SESSION に空の配列を代入することで、セッションを破棄できます。   session_start(); $_SESSION = array(); session_destroy();   特定のsession変数のみを破棄する場合は、下記のようにセッション変数をunsetします。   unset($_SESSION[セッション変数]);   実際に書いてみよう それでは、実際にsessionを設定し、破棄するコードを書いてみましょう。   <?php if ($_POST["action"] == "destroy") { session_start(); $_SESSION = array(); session_destroy(); } $my_name = ""; if ( $_POST['my_name'] ) { $my_name = $_POST['my_name']; } if ( !isset( $_SESSION ) ) { session_start(); if ($my_name) { $_SESSION['my_name'] = $my_name; } } if ( $_SESSION['my_name'] ) { ?> ようこそ<?php
PHP

あなたの目的に合わせて学べるコース

副業したい方

Web制作の力を身につけ
副業までサポート

はじめての副業コース

転職したい方

未経験から
Webエンジニアに

Webエンジニア転職保証コース

スキルアップしたい方

AIも統計解析もできる
Pythonを学ぶ

Pythonコース

※ 経済産業省の行うリスキリングを通じたキャリアアップ支援事業の補助金対象コースです。条件を満たすことで支払った受講料の最大70%がキャッシュバックされます。詳しくは こちら のページをご確認ください。

TechAcademyから
現役エンジニアの方へ
お知らせ

オーダーメイドコース
TechAcademy(テックアカデミー) プログラミング PHP PHPでセッションハイジャック対策を行う方法を現役エンジニアが解説【初心者向け】