志村 弘之

In message "[ruby-list:40416] Re: 1.8のcgi/session.rb", <20041214091750.003F.UEDA / netforest.ad.jp>, 
植田裕之 wrote...

 >> セッションが存在するかどうかだけではなく、セッションに期待した
 >> 値が入っていることを確認するべきだと思います。

そうですね。

 > これに関しては私もそう思います。セッション・クッキーの存在だけで処理が
 >進行するようなコードを書く事例があれば、どなたかご教授いただければ幸いで
 >す。
 >
 >> ……という風に作るのが「普通」だと思っているので、[ruby-list:40388]
 >> で志村さんが懸念しているような問題は起こらないと思っている

手元の自分のコード(PHP)でもID認証時にセットしたセッション変数をチェックしていました。

# [ruby-list:40402] の頃手元のPHPで、無効なセッションIDを入れてみたら、
# エラーになったのでその様なものだと思ったのですが、
# 良く見直したら、 所要のセッション変数があり、そこに所要の値が入っているか
# 自分でチェックルーチンを書いていました。

 > 弊社では Ruby を使って CGI を書いている人間が二人いますが、少なくとも
 >この二人の間では共通の認識になっています。なので普通かどうかは兎も角、特
 >異な話しでは無いと思います。

特異な話では無いし、そうすべきとか、けっこうそうしてる話だという事になります。

また、[ruby-list:40395] での 堀川 さんのご指摘や、
[ruby-list:40403] の 高橋さんのご指摘のように、そのままセッションを続けたいような
ケースもあるわけですね。

そうすると、「強制的に開始されたセッションについては、自分でチェックすること」
といのもありですね。(自分でも暗黙にそうやっていたわけでした)

結局僕は、自分でもやってないような偏執的な要請をしてた様です。
お騒がせしました。
---------------------------------------+---------+---------+以上 2004/12/14

志村弘之  mailto: shimurahiroyuki / obun.co.jp