sessionを使う時はHttpOnlyを指定しよう

正確にはcookieを使う際には、HttpOnlyを指定しよう。
php 5.2.0よりsetcookieにhttponly引数が追加されています。

CookieのHttpOnlyについては以下参照

HttpCookie.HttpOnly プロパティ (System.Web)

同じくPHP 5.2.0よりSessionでもこれが可能になっています。

以下参照。


クッキーに対して、HTTP を通してのみアクセスできるようにします。 つまり、JavaScript のようなスクリプト言語からはアクセスできなくなるということです。 この設定を使用すると、XSS 攻撃によって ID を盗まれる危険性を減らせます (が、すべてのブラウザがこの設定をサポートしているというわけではありません)。

XSSできなきゃいんじゃね?とは思うが、セキュリティには念には念を入れといた方がいい。

セッションを使用する前には、必ず以下の様に設定しておきましょう。

<?php
ini_set('session.cookie_httponly', true);
?>