セッションハイジャック　

　

同一人物のひとつながりのアクセスであるというのをセッションというのでもっているらしい

　

PHP側で、セッションを開始すると、セッションのID番号というのがユーザーに付与されて、ログアウトするまでページを遷移してもずっと同じものが引き継がれる。

ので、買い物ページを移動しても別人のカートじゃなく自分のカートに何があるかとかがわかる

このidをどうにかすると、商品の送り先を別の住所にしたりとかできるらしい

　

次のページに同じ人のお買い物であるとわかるのが大事だが

セッションを取得したときにidを見せてはいけない

　

むかしはurlにくっつけてたがそれはまずい

後日でもそれを打ち込んで送り先だけかえて買い物しまくるとかできるらしい

　

'サーバー側のクッキー'が'セッション'みたいな。

　

セッションのIDだけをユーザのクッキーに残す。だから数字だけらしい

ファイル名だけで中身はかららしい

　

サーバー側のクッキーはお買い物が終われば消えるとは限らない

1週間生きてるかも1か月かも。サーバによりけり

　

windowsのtempファイルのなかにいっぱいあるあれとは違うらしい

　

対策

ログアウトしたらユーザ/サーバ側のクッキーも消しておく

　

毎回セッションIDを変える