- ベストアンサー
会員制サイトを作成しました。セキュリティ問題
ログイン画面にパスワード、ID入力認証(GET送信) 画面推移はセッション SQLインジェクション対策としてデータ挿入はmysql_real_escape_string()で囲む こんな感じなんですが、その他気をつける点はありますでしょうか??正直、キリがない分野だと思うので、最低限のセキュリティテクニックを教えて頂きたいです。(あくまでもプロが考える最低限でお願いします。)
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
セキュリティなんてGET送信では全く無いです URLにログイン情報が残ってる時点でログインしたPCもしくは経由したサーバーから情報丸見えです せめてPOSTを使って下さい 最低限この二点は必要でしょう? ・値はユーザーが閲覧できる場所には置かないようにする ・ログイン情報は暗号化してやりとりする おっしゃっている通りキリが無いのですが自分だったら以下の通り ・キーボード以外からの情報入力も出来るようにスクリーンキーボードを配置します ・SSL暗号化通信を使用します ・値はユーザーが閲覧できる場所には置かないようにします ・ワンタイムパスワードを設定できるようにします ・ホスト名などの機器情報を取得しておきデータベース化 別場所からログインしようとした際に警告メッセージとログ出力と本人へ通知 ・取得した情報はポインタで確保し認証終了後ログイン情報はリリースしてしまう
その他の回答 (3)
- reggaepunc
- ベストアンサー率59% (64/108)
GET送信でパスワード送ってるなら、 まずはPOSTに変えるべきだとは、思う。
- yambejp
- ベストアンサー率51% (3827/7415)
>最低限のセキュリティテクニック ログイン画面ではhttpsが必須 それが無理なら、basic認証でもおなじレベル
- gagapadakiero
- ベストアンサー率0% (0/3)
今時、SQLインジェクション対策でエスケープ処理なんてしない。 それよりあの方法の方が効率的で簡単ww ocutuple(drmada)みたいな教えて君にはやり方分からないだろう。 早く知恵袋で迷惑をかけた人たちに土下座して謝罪しなさい。
