じゃあログインしてないときにログイン促すのをつくるよ
if文の特殊な書き方、
elseも書けるが、その場合:else:とは書かない。ただ<?php else: ?>と記述する。
ログアウトは容易じゃないらしい
処理を丁寧に書いた方がいいらしい
セッションハイジャックというアタックがある
月曜にログアウトはやりましょう
sessionとはいわばサーバ側のクッキー。
きわめて個人的な内容のクッキーはユーザ端末側におかないようにして、サーバにおいてのぞけないようにしましょうと。
じゃあ、Aさんのクッキーがどれかということになる。
→session idというのを自動的にふられてる。
Chromeでは検証→network,cookiesででてくる、
PHPSESSIDというのがこのこと。
これをお互い持ち合う(クライアントとサーバと)
SESSION IDはランダムにつくられる
わるいひとがこのIDを推測して、セッションを再開してすきにしようというのがセッションハイジャック
次にセッションを開始したときには新しいIDがわりふられる、が。
「検証ツールだしてから」indexを表示して再ログインしてみましょう
→さっきと違う値だ
ブラウザを終了したのと同じくらい、痕跡をのこさないようにログアウトしないといけない。
認証ボタンを押した瞬間にサーバ側にリクエストをだしてこの値をかえるとかもするらしい。
わりと高度な攻撃であり、防御も高度になりますよ
