<?php
// セッション変数を全て解除する
$_SESSION = array();

// セッションを切断するにはセッションクッキーも削除する。
// Note: セッション情報だけでなくセッションを破壊する。
if (isset($_COOKIE[session_name()])) {
setcookie(session_name(), ”, time()-42000, ‘/’);
}

// 最終的に、セッションを破壊する
session_destroy();
?>

参考サイト：http://d.hatena.ne.jp/Kappuccino/20080726/1217049706

共用SSLを利用する場合のセッション管理についてですが、共用SSLを利用する場合は、基本的に自分の運用するドメインとSSLページは違うドメイン（サーバ会社のドメインなど）になることが多いと思います。

その場合は、ブラウザのクッキーに保存されているSSLページと非SSLページでのドメインが違うことになるので、セッションが正常に引き継げなくなり、カートが空になるなどの現象が起こります。

Zencartのインストール直後の設定は、管理画面内の「セッション管理の設定」＞「クッキーの使用の設定」がTrueになっていたと思います。

この環境では、ブラウザのクッキーの使用が必須となってしまうので、共用SSLでクッキーに保存されたドメインが異なる場合は、当然、セッションが引き継げなくなりますし、もちろんブラウザがクッキーの使用を許可していない場合もセッションは引き継げません。

共用SSLでクッキー内のドメインが違う場合でもセッションを引き継ぐ方法として、管理画面内の「クッキーの使用」をFalseにすることでZencartが共用SSLの環境で使えるようになります。また、これは、クッキーを一切使用しないというのではなく、クッキーが使用できる場合は利用し、そうでない場合はURLにzenidとしてセッション情報を付与し、セッションを引き継がせることが出来るようになります。

管理画面の説明を見るだけでは、少し勘違いしやすい点ですが、

• 「クッキーの使用」＝True　＞　ブラウザのクッキーの使用が必須。
• 「クッキーの使用」＝False　＞　ブラウザのクッキーは必須ではなく、利用できるときは使い、そうでない場合はURLにzenidを付与しセッション管理を継続する。

といった感じだと思います。

その際の問題点として、クッキーが正常に利用できない場合はzenidが正常に付与される必要があるので、独自のカスタマイズでリンクURLを貼りつけた箇所などは、zenidが引き継げるようにZencartの仕様にそったリンクの貼り方をする必要があります。Zencartに内でのリンクの貼り方については、「zencart:カスタマイズ リンクの貼り方」の記事を参考にしてください。

また、インストール時に「サイト、管理画面共にSSLを使用する設定」でインストールしてしまい、管理画面が共用SSLで動作しない場合は、admin/includes内のconfig.phpファイルの設定を手動でSSLを使用しない設定にし、非SSLで管理画面にログイン後、「セッション管理の設定」＞「クッキーの使用」をFalseにする必要があります。

1. サーバが専用SSLではなく、共用のSSLを利用している。
2. カスタマイズの際にURLをそのまま張り付けて使用している。
3. 静的htmlへのリンクがZencartのサイト内に含まれている。

私の管理するZencartのサイトは上記の全てに当てはまっていました・・・orz

解決策の前にZencartのセッションの基本的な仕組みについて説明したいと思います。

Zencartのセッションの基本的な仕組み

Zen Cart のセッション情報は、ログイン時に発行される一意の文字列 （zenid） で管理されます。
管理方法としては、初期設定ファイルの内の設定（*1）によって、データベースに一時的に収納されるか、または指定のディレクトリーにファイルとして保存され、セッションの推移に伴い随時、参照・更新されていきます。

zenid は、基本的にはブラウザのクッキー (Cookie) （期限設定無し）に保存されます。
勘違いしやすいのですが、これは管理画面内の「セッション管理の設定」＞「クッキー使用の有効 (TRUE) / 無効 (FALSE)」 に関わらず、ブラウザのクッキーが許可されている場合は、クッキー (Cookie) を利用し zenid を引き継ぎ維持しようとします。この設定が有効 (TRUE) であればクッキー (Cookie) 使用が必須となり、ブラウザのクッキー (Cookie) が不許可の場合や、共用SSL サーバーなどでドメインが変更され、クッキー (Cookie) の引き継ぎが不可能な場合などは、zenid 発行時にクッキー (Cookie) の設定をオンにすることを促すメッセージ (index.php?main_page=cookie_usage) が表示されます。

また、「セッション管理の設定」＞「クッキー使用の設定が無効 (FALSE)」 の設定で、ブラウザのクッキーが不許可、または、SSL サーバーなどでドメインが変更されるためクッキー (Cookie) の引き継ぎが不可能な場合などは、ブラウザに渡される URL に付け足される形で zenid を引き継ぎます。

この際、URL を呼び出すのに、zen_href_link() 等 Zen Cart のリンク関数を用いていれば関数内の処理で自動的に zenid 追加されますが、独自カスタマイズなどを加えていて直接 URL をベタ書きしている様な場合は、クッキー (Cookie) 不可環境での zenid の引き継ぎが不可能になり、ログイン状態が維持できなくなったりカートの内容が空になってしまう様な現象が現れます。

クッキー (Cookie) 不可環境に対応する、または SSL サーバーを別ドメイン名で運用する場合などは、前記「セッション管理の設定/クッキー使用」の設定を無効 (FALSE) としなければなりません。しかし、前記の様に zenid が URL に付加されるためセキュリティ上は好ましくありません。

このような場合は、「SSLセッションIDチェック」、「User Agentチェック」、「IPアドレスチェック」、「ロボット(スパイダー)のセッションを防止」、「セッション再発行」の各項目を有効 (TRUE) とし、セッションなりすまし防止等、セキュリティ対策をする必要があると思います。

以下、管理画面内のセッション管理の設定内の項目の説明です。

SSLセッションIDチェック
全てのHTTPSリクエストでSSLセッションIDをチェックしますか?

User Agentチェック
全てのリクエスト時にUser Agentのチェックを行いますか?
同一セッションであったとしても、User Agentをチェックし、もし違えばセッション情報を破棄します。
セッションハイジャックの防止に有効です。

IPアドレスチェック全てのリクエスト時にIPアドレスをチェックしますか?
同一セッションであったとしても、IPアドレスをチェックし、もし違えばセッション情報を破棄します。
セッションハイジャックの防止に有効です。

ロボット(スパイダー)のセッションを防止
既知のロボット(スパイダー)がセッションを開始することを防止しますか?

対象となるロボット（スパイダー）のリストは、　includes/spiders.txt に記載されていますので、必要に応じて対象を追加してください。

セッション再発行
ユーザーがログオンまたはアカウントを作成した場合にセッションＩＤを再発行しますか?(PHP4.1以上が必要)
セッションハイジャックの防止に有効です。

IPアドレス変換の設定
IPアドレスをホストアドレスに変換しますか?注意：サーバによっては、この設定でメール送信のスタート・終了が遅くなることがあります。

*1　インストール画面でキャッシュの保存方法をデータベースなどから選択する箇所がありますが、そこの設定に関係していると思います。（未検証）
また、セッション情報をファイルで保存するには、設定ファイルを直接修正する必要があります。configure.php の下部にある define(‘SQL_CACHE_METHOD’, ‘none’); 　を define(‘SQL_CACHE_METHOD’, ‘file’);　に変更する事で有効になります。

この記事の最初に触れましたが、以下の問題の解決策を書きます。

1. サーバが専用SSLではなく、共用のSSLを利用している。
2. カスタマイズの際にURLをそのまま張り付けて使用している。
3. 静的htmlへのリンクがZencartのサイト内に含まれている。

Zencartのセッションに関して、上記のトラブルの解決策

1.サーバが専用SSLではなく、共用のSSLを利用している。

共用SSLの場合は、SSLページとそれ以外のページで、ブラウザのクッキーに保存されるドメインが変わってしまうので、セッションが引き継げなくなってしまいます。（Zencatで共用SSLを利用する場合の説明はこちらで触れています。）

その解決策として、管理画面内の「セッション管理の設定」＞「クッキー使用の設定」をFalseにする必要があります。前述しましたが、これはクッキーを一切使用しないという意味ではありません。ブラウザのクッキーが使用できない場合は、URLにzenidを付与して、セッションを引き継ぐということです。

問題が共用SSLを使用している点だけであれば、ブラウザのクッキーが使用できない場合も含め、「クッキー使用」をFalseにするだけで対応できます。その際のセキュリティ低下を考えると、「SSLセッションIDチェック」、「User Agentチェック」、「IPアドレスチェック」、「ロボット(スパイダー)のセッションを防止」、「セッション再発行」の各項目を有効 (TRUE) とし、セッションなりすまし防止等、セキュリティ対策をする必要があると思います。

2.カスタマイズの際にURLをそのまま張り付けて使用している。

この場合は、クッキーの使えない環境も考慮し、カスタマイズの際に張り付けたリンク箇所をセッションが引き継がれるように、zen_href_link()などを利用し、修正する必要があります。

セッションを引き継ぐリンクの貼り方についてはこちらのページを参照してください。

3.静的htmlへのリンクがZencartのサイト内に含まれている。

この場合も、「2」の問題と同様に、クッキーの使えない環境も考慮し、カスタマイズの際に張り付けたリンク箇所をセッションが引き継がれるように、zen_href_link()などを利用し、修正する必要があります。

セッションを引き継ぐリンクの貼り方についてはこちらのページを参照してください。

引用元サイト : talking about …

セッションを維持するリンクの貼り方は状況によっていくつか考えられるので、順に説明していきたいと思います。

1.Zencart(filenames.php)にもともと定義されているページへのリンクの貼り方

■形式

非SSLの場合 : <a href=”<?php echo zen_href_link(FILENAME_CONTACT_US, ”, ‘NONSSL‘); ?>”>お問い合わせ</a>

SSLの場合 : <a href=”<?php echo zen_href_link(FILENAME_LOGIN, ”, ‘SSL‘); ?>”>ログイン</a>

この場合は、「FILENAME～」となっている箇所を includes/filenames.php に定義されている名前と同じものを設定することになります。

SSLにするかどうかの設定は「SSL」または、「NONSSL」を記述します。

2.Zencart(filenames.php)にもともと定義されていないページへのリンクの貼り方

例えば、「http://domain_name.com/index.php?main_page=index&cPath=14」にリンクを張りたい場合などです。

■形式

<a href=”<?php echo zen_href_link(“index&cPath=14“, ”, ‘NONSSL’); ?>”>ページ名</a>

この場合は、「index&cPath=14」となっている箇所を編集します。

URLで 「index.php?main_page=」 以降の箇所を赤字の箇所に指定することで動作します。

SSLにするかどうかの設定は「SSL」または、「NONSSL」を記述します。

3.オリジナルのphpプログラムの中で動かすような場合

例として、カテゴリIDを取得し、自動でカテゴリ名へリンクを設置するようなプログラムを作るとします。そのリンク箇所にセッションが正常に引き継げるように設定します。

■形式

<a href=\”http://domain_name/index.php?main_page=index&cPath=”.$categories_id.”&”.zen_session_name() . ‘=’ . zen_session_id().“\”>”.$res3['categories_name'].”</a>

Zencart内で、zen_session_nameというのは「zenid」のことです。zen_session_idというのはzenidの値のことです。

このやり方については、クッキーの設定に関わらず、URL内のzenidにてセッションを引き継ぐ方法ですが、セキュリティ面を考慮すると、もう少しスマートなやり方があるかもしれません。

4.Zencartのサイト内に静的ｈｔｍｌのページがある場合

■形式

<a href=”http://domain_name/sitemap.html?<?php echo zen_session_name() . ‘=’ . zen_session_id() ?>”>サイトマップ</a>

これについては、静的ｈｔｍｌを介して、セッションを引き継ぐために無理やり動作させているという感じです。

静的ｈｔｍｌからZencartページに戻った場合なども、セッションを引き継ぐ必要があるので、静的ｈｔｍｌページ内のリンクも全て記述を修正する必要が出てくると思います。

また、サーバ環境によっては、htmlファイルでphpを動作させるために「.htaccess」ファイルによる設定も必要になるかもしれません。