カテゴリ: PHP 更新日: 2026/01/23

PHPのCookieセキュリティを完全ガイド!初心者でもわかるSecureとHttpOnlyの使い方

PHP の Cookie のセキュリティ(Secure, HttpOnly)
PHP の Cookie のセキュリティ(Secure, HttpOnly)
先生と生徒の会話形式で理解しよう

生徒

「PHPでログインを作りたいのですが、Cookieってどうやって安全に扱えばいいんですか?」

先生

「PHPではCookieを使うと便利ですが、設定を誤るとセキュリティの問題が起きることがあります。特に、SecureHttpOnlyという属性はとても重要です。」

生徒

「名前は聞いたことがありますが、どういう役割なんでしょう?」

先生

「それでは、PHPのCookieセキュリティの基本から一緒に見ていきましょう。」

-

1. PHPのCookieとは?初心者向けにやさしく解説

1. PHPのCookieとは?初心者向けにやさしく解説
1. PHPのCookieとは?初心者向けにやさしく解説

PHPのCookieとは、ユーザーのブラウザに小さなデータを保存する仕組みのことです。Webサイトがユーザーのログイン状態を覚えておいたり、設定情報を保持したりするために使われます。例えば「ログイン状態を保持する」というチェックボックスを見たことがある人もいると思いますが、あれはCookieを利用しています。

Cookieは便利ですが安全性を考えないと危険な場面もあります。インターネットは多くの人が行き交う道路のようなものなので、注意せずに情報を流すと悪意のある人がデータを盗む可能性があります。ここで重要になるのがSecure属性とHttpOnly属性です。

2. Secure属性とは?HTTPS通信で安全にCookieを送るための仕組み

2. Secure属性とは?HTTPS通信で安全にCookieを送るための仕組み
2. Secure属性とは?HTTPS通信で安全にCookieを送るための仕組み

Secure属性とは、Cookieが「HTTPS通信の場合だけブラウザに送られるようにする」ための設定です。もしSecureを設定しないと、HTTPという暗号化されていない通信のときでもCookieがネットワークを流れてしまい、盗み見される可能性があります。これは、手紙を封筒に入れずに郵便屋さんへ渡すようなもので、中身が誰でも見える状態になります。

特にログイン情報やユーザーIDなど、大切な情報をCookieに保存している場合はSecure属性が必ず必要です。現在のWeb開発ではHTTPSが標準ですが、それでも明示的に設定しておくことでより安全なPHPアプリケーションを作れます。

PHPでSecure属性をつけてCookieを設定するときの例は以下のようになります。


setcookie(
    "user_token",
    "example_value",
    [
        "expires" => time() + 3600,
        "secure" => true,
        "httponly" => false,
        "samesite" => "Strict"
    ]
);

3. HttpOnly属性とは?JavaScriptからCookieを守る大切な仕組み

3. HttpOnly属性とは?JavaScriptからCookieを守る大切な仕組み
3. HttpOnly属性とは?JavaScriptからCookieを守る大切な仕組み

HttpOnly属性とは、CookieをJavaScriptから読み取れなくする設定です。これは、XSS(クロスサイトスクリプティング)攻撃という有名なハッキング手法を防ぐために使われます。もしサイト内に悪意のあるスクリプトが埋め込まれてしまった場合、JavaScriptでCookieを盗まれる可能性があります。ですが、HttpOnlyを設定しておけばJavaScriptがCookieを読み取れないため、安全性が大きく向上します。

例えると、誰でも開けられる引き出しではなく「鍵付きの引き出し」に大切なものをしまうイメージです。鍵を持っているのはPHPだけで、JavaScriptは開けられません。


setcookie(
    "session_id",
    "abc123",
    [
        "expires" => time() + 3600,
        "secure" => false,
        "httponly" => true,
        "samesite" => "Lax"
    ]
);

4. SecureとHttpOnlyを両方設定するのが必須レベルで重要

4. SecureとHttpOnlyを両方設定するのが必須レベルで重要
4. SecureとHttpOnlyを両方設定するのが必須レベルで重要

PHPで安全にCookieを利用するためには、SecureHttpOnlyの両方を設定することが非常に重要です。片方だけでは不十分で、インターネットのセキュリティリスクを十分に防止することができません。

特にログイン情報やセッションIDなど、ユーザー認証に関わるデータは必ず保護する必要があります。これらが漏れてしまうと不正ログインやなりすましが起きてしまうため、Webサービス全体の信頼性が下がります。

また、PHPの新しいバージョンでは配列形式でCookieを設定できるようになっており、セキュリティの設定をまとめて記述できるため、初心者でも分かりやすく安全なコードを書きやすくなりました。


setcookie(
    "auth_token",
    "xyz789",
    [
        "expires" => time() + 3600,
        "secure" => true,
        "httponly" => true,
        "samesite" => "Strict"
    ]
);
-

5. 初心者でも覚えやすいCookieセキュリティのチェックポイント

5. 初心者でも覚えやすいCookieセキュリティのチェックポイント
5. 初心者でも覚えやすいCookieセキュリティのチェックポイント

ここまでで、SecureとHttpOnlyの役割が理解できたと思います。初心者の人ほど、Cookieの安全な設定を習慣化しておくことが大切です。プログラミングでは、正しく仕組みを理解すれば難しいものでもありません。ここでは、初めてPHPでCookieを扱う人でも覚えやすいポイントをまとめておきます。

  • Cookieはブラウザに保存される大切なデータなので慎重に扱う
  • HTTPSを使っているサービスでは必ずSecureを付ける
  • JavaScriptから読み取られたくない情報にはHttpOnlyを付ける
  • ログイン情報やセッション管理は常にセキュリティを最優先にする
  • PHPの配列形式のsetcookieは初心者にも書きやすくておすすめ

Cookieはとても便利ですが、使い方を誤るとアプリケーション全体が危険にさらされる可能性があります。だからこそ、最初の段階でSecureとHttpOnlyをしっかり理解しておくことが安全なWeb開発の第一歩になります。

コメント
コメント投稿は、ログインしてください

まだ口コミはありません。

関連記事:
PHP のセキュリティチェックリスト | PHPのセキュリティチェックリストを丁寧に解説!初心者でも理解できる安全対策ガイド
PHP の API セキュリティ(CORS, APIキー管理) | PHPのAPIセキュリティを完全ガイド!初心者でもわかるCORSとAPIキー管理の基本
PHP の OAuth 認証(Google・Facebook ログイン) | PHPのOAuth認証を完全ガイド!初心者でもわかるGoogle・Facebookログインの仕組み
PHP の JWT(JSON Web Token)認証の基本 | PHPのJWT認証を完全ガイド!初心者でもわかるJSON Web Tokenの基本と安全な仕組み
PHP の認証機能の実装(ログイン・ログアウト) | PHPの認証機能を完全ガイド!初心者でもわかる安全なログイン・ログアウトの仕組み
PHP のパスワードの安全な保存方法(password_hash) | PHPのpassword_hashを完全ガイド!初心者でもわかる安全なパスワードの保存方法
PHP の CSRF 対策(トークンの活用) | PHPのCSRF対策を完全理解!トークンを使った安全なフォーム送信の仕組みを初心者向けに徹底解説
PHP の SQL インジェクション対策(PDO, mysqli) | PHPのSQLインジェクション対策を完全解説!初心者でも安全にデータベースを扱う方法
カテゴリの一覧へ
新着記事
New1
PHP
PHP の hidden フィールドとセキュリティ対策
PHPのhiddenフィールドとは?初心者でもわかる使い方とセキュリティ対策をやさしく解説!
New2
Python
Pythonのデコレータ(@decorator)とは?関数を拡張する仕組みを解説
Pythonのデコレータ(@decorator)とは?関数を拡張する仕組みを解説
New3
Python
Pythonで指定日が祝日か判定する方法(holidaysモジュール)
Pythonで祝日判定する方法を完全解説!初心者でもわかるholidaysモジュール入門
New4
Python
Pythonのタプルの要素を変更できない理由とその回避策
Pythonのタプルの要素を変更できない理由とその回避策を初心者向けに解説
-
人気記事
No.1
Java&Spring記事人気No1
Python
Pythonで文字列が数値か判定する方法!isdigit()・isnumeric()の違い
 39
Pythonで文字列が数値か判定する方法!isdigit()・isnumeric()の違い
No.2
Java&Spring記事人気No2
PHP
PHP の Cookie の Secure, HttpOnly, SameSite 設定について
 35
PHPのCookieのSecure, HttpOnly, SameSite設定を初心者向けに解説
No.3
Java&Spring記事人気No3
PHP
PHP のコンストラクタ(__construct)とは?使い方を解説
 29
PHP のコンストラクタ(__construct)とは?使い方を解説
No.4
Java&Spring記事人気No4
Python
PythonでExcel(xlsx)ファイルを操作する方法(openpyxl / pandas の活用)
 29
PythonでExcelファイル(.xlsx)を操作する方法を徹底解説!初心者でもできるopenpyxl・pandasの使い方
No.5
Java&Spring記事人気No5
Python
Pythonの変数宣言の方法とは?型ヒント(type hints)の使い方
 28
Pythonの変数宣言の方法とは?型ヒント(type hints)の使い方を初心者向けに解説!
No.6
Java&Spring記事人気No6
Python
Pythonのインストール&環境構築!Windows・Mac・Linuxでの手順
 25
Pythonのインストール&環境構築!Windows・Mac・Linuxでの手順を初心者向けに解説
No.7
Java&Spring記事人気No7
PHP
PHP の配列をソートする方法(sort, rsort, asort, ksort)
 25
PHPの配列をソートする方法!sort, rsort, asort, ksortの使い方を丁寧に解説します!
No.8
Java&Spring記事人気No8
PHP
PHP の switch 文を使った条件処理の書き方
 24
PHPのswitch文を使った条件処理の書き方を完全ガイド!初心者でもわかる使い方
-
-