仕事でログインの会員認証を作成する事になり
セキュリティの件でよかったらアドバイス下さい。
これまでは趣味でログイン認証を作った事があるんですが
その時の手順は初めログインページでIDとパスワードの入力させ、
データベースにアクセスし該当のIDとパスワードがあるか確認、
OKの場合はsessionにIDを記録させ
以後ログイン中か否かの判断はsessionのIDを保持してるかどうかで
判別させてました。
例
if($_SESSION["id"]){
....ok
}else{
....no
}
今回実務でログイン判定を作る事になりこのやり方では
セキュリティが大丈夫か心配です。
このやり方ならセキュリティもある程度大丈夫だというやり方を
教えていただけませんか?
すいませんがよろしくお願いします。
投稿日時 - 2009-01-27 16:21:28
基本的にはそのやり方で何も問題ないと思いますが、何を心配しているのですか? (もちろんそれだけで良いということではありませんが、仕組みとしてはそれが基本だと思います)
ただ一点だけ、次のことが気になりました。
>データベースにアクセスし該当のIDとパスワードがあるか確認
まさかとは思いますが、生のパスワードをそのままデータベースに保存してないですよね?? ちゃんとハッシュ化してますよね?
投稿日時 - 2009-01-28 10:11:22
お礼
返信が遅くなりすいません。
パスワードはMD5で暗号化してデータベースに納めています。
心配というのはPHPを本格的に初めてそこまで時間が経ってないので
なんとなくです。
心配しないでいいようしっかり学習します。
投稿日時 - 2009-01-30 23:30:29
0人が「このQ&Aが役に立った」と投票しています
ベストアンサー以外の回答(2件中 1~2件目)
PEAR::Auth はどうですか?
http://pear.plus-server.net/package.authentication.html
投稿日時 - 2009-01-28 16:27:13
お礼
返信が送れてしまいすいません。
Authは何度か試した事があり
候補に入れましたが今回は自分で一から挑戦しようと思いまして・・
投稿日時 - 2009-01-30 23:25:39
