PHPではセッションとクッキーはどのように機能しますか？ · IT面接対策

PHPではセッションとクッキーはどのように機能しますか？

クッキーはブラウザに保存され、各リクエストとともに送信される小さなデータです。セッションはサーバーにデータを保存し、セッションIDのクッキーで識別されます。この2つが組み合わさることで、ステートレスなHTTPプロトコルをまたいで状態を維持できるようになります——ログイン、カート、設定にとって不可欠です。

クッキー —— クライアント側に保存されるデータ

php



(, , [
     => () + ,    //  day
     => ,              // ❗ not readable by  (XSS protection)
     => ,                // ❗ only sent over HTTPS
     => ,          // ❗ CSRF protection
]);


 = [] ?? ;

php

<?php
session_start();    // start/resume the session (sets a session-ID cookie) — before output

// store data on the SERVER (only the session ID is in the browser cookie)
$_SESSION["user_id"] = 42;
$_SESSION["username"] = "ann";

// read it on later requests (after session_start)
$userId = $_SESSION["user_id"] ?? null;

// clear/destroy
unset($_SESSION["user_id"]);
session_destroy();

text

Cookie  → data stored in the BROWSER, sent each request, size-limited, user-visible
          → for non-sensitive prefs (theme), or the session ID itself
Session → data stored on the SERVER (DB/Redis/files), only the ID in a cookie
          → for sensitive/larger data (user identity, cart) — keep secrets server-side

text

✓ Use httponly + secure + samesite cookies (XSS & CSRF protection)
✓ Regenerate the session ID on login: session_regenerate_id(true) (prevents fixation)
✓ Don't store secrets in cookies; keep sensitive data in the SESSION (server-side)
✓ Use HTTPS so session cookies aren't intercepted

PHPではセッションとクッキーはどのように機能しますか？

クッキー —— クライアント側に保存されるデータ

セッション —— サーバー側に保存されるデータ

クッキー vs セッション

セキュリティのベストプラクティス

なぜ重要なのか