PHPのCookieセキュリティを完全ガイド！初心者でもわかるSecureとHttpOnlyの使い方

PHP の Cookie のセキュリティ（Secure, HttpOnly）

先生と生徒の会話形式で理解しよう

生徒

「PHPでログインを作りたいのですが、Cookieってどうやって安全に扱えばいいんですか？」

先生

「PHPではCookieを使うと便利ですが、設定を誤るとセキュリティの問題が起きることがあります。特に、SecureとHttpOnlyという属性はとても重要です。」

生徒

「名前は聞いたことがありますが、どういう役割なんでしょう？」

先生

「それでは、PHPのCookieセキュリティの基本から一緒に見ていきましょう。」

1. PHPのCookieとは？初心者向けにやさしく解説

PHPのCookieとは、ユーザーのブラウザに小さなデータを保存する仕組みのことです。Webサイトがユーザーのログイン状態を覚えておいたり、設定情報を保持したりするために使われます。例えば「ログイン状態を保持する」というチェックボックスを見たことがある人もいると思いますが、あれはCookieを利用しています。

Cookieは便利ですが安全性を考えないと危険な場面もあります。インターネットは多くの人が行き交う道路のようなものなので、注意せずに情報を流すと悪意のある人がデータを盗む可能性があります。ここで重要になるのがSecure属性とHttpOnly属性です。

2. Secure属性とは？HTTPS通信で安全にCookieを送るための仕組み

Secure属性とは、Cookieが「HTTPS通信の場合だけブラウザに送られるようにする」ための設定です。もしSecureを設定しないと、HTTPという暗号化されていない通信のときでもCookieがネットワークを流れてしまい、盗み見される可能性があります。これは、手紙を封筒に入れずに郵便屋さんへ渡すようなもので、中身が誰でも見える状態になります。

特にログイン情報やユーザーIDなど、大切な情報をCookieに保存している場合はSecure属性が必ず必要です。現在のWeb開発ではHTTPSが標準ですが、それでも明示的に設定しておくことでより安全なPHPアプリケーションを作れます。

PHPでSecure属性をつけてCookieを設定するときの例は以下のようになります。


setcookie(
    "user_token",
    "example_value",
    [
        "expires" => time() + 3600,
        "secure" => true,
        "httponly" => false,
        "samesite" => "Strict"
    ]
);

3. HttpOnly属性とは？JavaScriptからCookieを守る大切な仕組み

HttpOnly属性とは、CookieをJavaScriptから読み取れなくする設定です。これは、XSS（クロスサイトスクリプティング）攻撃という有名なハッキング手法を防ぐために使われます。もしサイト内に悪意のあるスクリプトが埋め込まれてしまった場合、JavaScriptでCookieを盗まれる可能性があります。ですが、HttpOnlyを設定しておけばJavaScriptがCookieを読み取れないため、安全性が大きく向上します。

例えると、誰でも開けられる引き出しではなく「鍵付きの引き出し」に大切なものをしまうイメージです。鍵を持っているのはPHPだけで、JavaScriptは開けられません。


setcookie(
    "session_id",
    "abc123",
    [
        "expires" => time() + 3600,
        "secure" => false,
        "httponly" => true,
        "samesite" => "Lax"
    ]
);

4. SecureとHttpOnlyを両方設定するのが必須レベルで重要

PHPで安全にCookieを利用するためには、SecureとHttpOnlyの両方を設定することが非常に重要です。片方だけでは不十分で、インターネットのセキュリティリスクを十分に防止することができません。

特にログイン情報やセッションIDなど、ユーザー認証に関わるデータは必ず保護する必要があります。これらが漏れてしまうと不正ログインやなりすましが起きてしまうため、Webサービス全体の信頼性が下がります。

また、PHPの新しいバージョンでは配列形式でCookieを設定できるようになっており、セキュリティの設定をまとめて記述できるため、初心者でも分かりやすく安全なコードを書きやすくなりました。


setcookie(
    "auth_token",
    "xyz789",
    [
        "expires" => time() + 3600,
        "secure" => true,
        "httponly" => true,
        "samesite" => "Strict"
    ]
);

5. 初心者でも覚えやすいCookieセキュリティのチェックポイント

ここまでで、SecureとHttpOnlyの役割が理解できたと思います。初心者の人ほど、Cookieの安全な設定を習慣化しておくことが大切です。プログラミングでは、正しく仕組みを理解すれば難しいものでもありません。ここでは、初めてPHPでCookieを扱う人でも覚えやすいポイントをまとめておきます。