- ベストアンサー
ユーザー名、パスワードファイルの安全性について
phpでログイン画面を作っています。 入力されたユーザー名、パスワードが別ファイル(data.txt)の中身と一致すればログインできるという形なのですが、安全性はどうなのか疑問です。 現在の状態は、 パーミッションのその他の実行権限を外したフォルダを作り、その中にdata.txtを格納しています。 これだけではまずいのでしょうか?
- infinity38
- お礼率74% (86/116)
- PHP
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
質問者が現在ログインしているユーザアカウントでファイルdata.txtを開くことができますか? できるなら,外部からのログオンを許してしまうウイルスに感染した際,data.txtの中身は漏洩するでしょう。 質問文にあるphpプログラムはファイルdata.txtを開くことができますか? できるなら,data.txtのpermissionが適切だったとしても,phpプログラムのpermissionが不適切でそのphpプログラムと同じ権限を持つ悪意あるプログラムを仕掛けられたり,phpプログラムのバグを突かれたりすれば,data.txtの中身は漏洩するでしょう。
その他の回答 (1)
- jjon-com
- ベストアンサー率61% (1599/2592)
何らかの手段によってdata.txtにアクセスされたとき,全ユーザのパスワードが漏洩してしまうのが大問題です。 一般的にシステム側では,パスワード文字列自体を格納するのではなく,パスワード文字列を一方向ハッシュによって変換したハッシュ値を格納します。 「一方向ハッシュ」や「PHP 一方向ハッシュ」などのキーワードでWeb検索してみれば,その利点やコード例などを見つけられるでしょう。
補足
ありがとうございます。 検索してみます。 ただ、「何らかの手段」とはどういうことなのでしょうか?? 現在、パーミッションを設定してブラウザからdata.txtにアクセスできませんが、 それでもアクセスされてしまうということでしょうか?
お礼
具体例を教えていただき、安全とはいえないことが理解できました。 ありがとうございました。