[開発ログ]教えてセッション管理
たかはしさんに指摘して頂いたようにセッション ID の正当性を IP で判断する方法はダメなようだ。
クッキーや hidden を使わないようにしたいと思ったのは次の理由から。
- クッキーが使えない端末がある(特に携帯)
- クッキーを嫌う人がいる
- FORM を使わずにリンクで遷移したいので hidden が使えない
となると現状で思いつく解決策はこれだ。
- デフォルトではクッキーにセッション ID を記録する
- クッキーが使えない(使わない)場合はクエリにセッション ID をのせて IP もチェックする