- ベストアンサー
会員ログイン認証について
仕事でログインの会員認証を作成する事になり セキュリティの件でよかったらアドバイス下さい。 これまでは趣味でログイン認証を作った事があるんですが その時の手順は初めログインページでIDとパスワードの入力させ、 データベースにアクセスし該当のIDとパスワードがあるか確認、 OKの場合はsessionにIDを記録させ 以後ログイン中か否かの判断はsessionのIDを保持してるかどうかで 判別させてました。 例 if($_SESSION["id"]){ ....ok }else{ ....no } 今回実務でログイン判定を作る事になりこのやり方では セキュリティが大丈夫か心配です。 このやり方ならセキュリティもある程度大丈夫だというやり方を 教えていただけませんか? すいませんがよろしくお願いします。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
基本的にはそのやり方で何も問題ないと思いますが、何を心配しているのですか? (もちろんそれだけで良いということではありませんが、仕組みとしてはそれが基本だと思います) ただ一点だけ、次のことが気になりました。 >データベースにアクセスし該当のIDとパスワードがあるか確認 まさかとは思いますが、生のパスワードをそのままデータベースに保存してないですよね?? ちゃんとハッシュ化してますよね?
その他の回答 (2)
- warez
- ベストアンサー率57% (29/50)
PEAR::Auth はどうですか? http://pear.plus-server.net/package.authentication.html
お礼
返信が送れてしまいすいません。 Authは何度か試した事があり 候補に入れましたが今回は自分で一から挑戦しようと思いまして・・
- singlecat
- ベストアンサー率33% (139/418)
この手の話題は、みんな本当に行っている事は書きませんよ(笑) 一般的な事で言うと、セッションハイジャックの対策などが必要になります。 ※具体的にどうしているかは、その方法をセキュリティ上知られたくないので書けません
お礼
返信が遅くなりすいません。 セキュリティ対策を 公開する事自体危険な行為ですもんね。 もう少し勉強したいと思います。
お礼
返信が遅くなりすいません。 パスワードはMD5で暗号化してデータベースに納めています。 心配というのはPHPを本格的に初めてそこまで時間が経ってないので なんとなくです。 心配しないでいいようしっかり学習します。