何でもかんでもセッションに入れない
セキュアなページを作る上でセッションの扱い方についてです。
最近、セッションにユーザーの個人情報をそのまま入れる方がいました。
そうではなく、※1.ユーザーを特定する個人情報には当たらないものだけをセッションに保存し、
その都度データベースから必要情報を持ってきたほうがいいです。
そのほうがセキュアです。
※1
例えばですがユーザーそれぞれに対し、文字列15個ほどの乱数を設定するなどしてもいいかもしれません。
「IDじゃだめ?」と思う方もいるかもしれません。私の考えでは「番号」という情報が判明していることもセキュアではないページの原因になると考えているのでNGです。