第8章 リクエスト情報 / 第3回 模擬試験

PHPのセッションの仕組みに関する次の記述のうち、誤っているものはどれか。

セッションIDは、通常Cookieを使ってクライアントとサーバー間でやり取りされる。
セッションデータは、デフォルトではサーバー側のファイルなどに保存される。
セッションを利用するには、各ページの先頭で`session_start()`を呼び出す必要がある。
セッションIDはページを移動しても絶対に変化してはならない仕様である。 正解
解説
セキュリティ対策(セッション固定攻撃対策など)として、ログイン時などに`session_regenerate_id()`でセッションIDを意図的に再生成することが推奨されます。「絶対に変化してはならない」というのは誤りです。(参照: 独習PHP 第4版 第8章 リクエスト情報 8.7節 セッション情報 p.387〜395)