1件のコメント

  1. こんにちは。
    ログイン機能を探していたところたどり着きました。
    サンプル使わせていただいて大変助かってます!
    これに、ログアウト機能ってつけられませんか?
    $message = “Login success”; が表示される箇所に
    ログアウトへのリンク?を付けられたらいいなと思っています。
    追加してみようと試みたのですが、当方PHP知識ないため・・・。
    ご教授いただければ幸いです!

    Reply
  2. さっそくの対応ありがとうございます!
    無事ログアウト機能もつけることができました!感謝です!

    Reply
  3. はじめまして
    いつもサイトの情報を参考にさせて頂きphpの勉強中です。
    ”実際に使う時は暗号化したパスをまるっと保存させるのではなく、
    さらに何かしら手を加えてから保存した方がいいと思う。”
    とあるのですが、実際に公開するアプリケーションでは具体的にはどのような方法をとるのでしょうか?
    このあたりを詳しく説明している情報にたどり着けず悩んでいます。
    何か参考になる文献など情報があれば教えて頂けると嬉しいです。

    Reply
  4. はじめまして。いきなりすみません。
    こちらのサンプルコードではクッキーにパスワードを保存されていますが、
    ログインという性質上、セッション変数にユーザーIDを保存した上で、
    セッションIDにて認証を行う方が良いのではないでしょうか。

    確かにクッキーに保存しておいた情報を後から使うのが実装としては素直かと思うのですが、
    セキュリティという観点から見ると、クッキーには一切のユーザー情報を含めず、
    セッションIDにて認証を行うのが望ましいとされています。
    http://blog.ohgaki.net/espcs_if_a_fa_ia_a_pa_e_oa_a_sa_da_ca_sa
    http://tumblr.tokumaru.org/post/42467648113/donot-store-loginid-in-a-cookie

    また、ログイン成功時にはsession_regenerate_idでセッションIDを生成しなおすことで、
    セッションフィクセイション(攻撃者が用意したセッションIDを別のユーザーに使わせ、
    セッションハイジャックを試みる攻撃)の対策ができるようです。

    Reply
  5. コーイチ さん>
    返事したつもりがしてなかったようですみません。
    ネットだと探しても見つからないというのは同感です。
    (なんせこの記事が1ページ目に出るくらいですので)
    というわけで徳丸本をお薦めします。
    体系的に学ぶ 安全なWebアプリケーションの作り方
    http://bookpub.jp/books/bp/144

    Sulky さん>
    マジレスありがとうございます。
    前記事へのコメントに見えますが大丈夫でしょうか。

    検索して当記事・前記事を見るのはどうやったらいいか分からない人です。
    なので題名にある機能だけをコピペで実行できて、読んでも処理内容を追いやすいサンプルを乗せています。
    セキュリティ面で理想的な方法はありますが初心者向けではないので、
    このままの実装だと危ないということを示すだけに留めています。
    より安全な方法についてはセキュリティに関する事が気になるようになったら調べればいいと思ってます。

    Reply

Leave a Comment.